Accueil > > > SÉCURISER ET PARSER UN MESSAGE POUR UN FORUM
SÉCURISER ET PARSER UN MESSAGE POUR UN FORUM
Information sur la source
Description
Pour un forum, il est nécessaire d'interdire l'utilisation de code PHP, Javascript, et de limiter les balises HTML autorisées. Il faut aussi gèrer les mots trés longs (une URL, par exemple) pour éviter qu'ils déforment la mise en page du site. Et pour la convivialité, il faut parser (ou interpreter) les URL ou adresses e-mail pour les rendre automatiquement cliquables. Enfin, - la cerise sur le gateau -, remplacer les caractères des smileys par des images. Dans le source ci-dessous, on part du principe que le message saisi par l'utilisateur provient d'un champ TEXTAREA qui renvoie sa valeur dans la variable '$texte'. Il suffit de sauvegarder le contenu de cette variable à la fin du traitement pour avoir la version sécurisée. La méthode utilisée ici pour sécuriser consiste à utiliser l'instruction 'htmlentities' aprés avoir parser - temporairement - les balises HTML que l'on veut autoriser avec des '-%' ou '%-' ; elles seront re-parser juste à la fin avec des '<' ou '>' pour les réactiver. Ici, on autorise les balises <B>, <I>, <U>, et <BR>. Puis, le traitement se fait mot-à-mot pour : - mettre des séparations (qui seront effectives si jugées nécessaire par le navigateur) en cas de mots trés long, - créer des liens avec les URL (commençant par http ou www), - identifier les smileys avec prise en charge de ceux qui rigolent (ou pleurent) trop fort !!! ;op Pour cette exemple, les smileys ne sont pas remplacés par des images, mais simplement mis en gras avec une étiquette affichant la pensée associée au smiley... Il sera pas difficile pour vous de le modifier pour l'emploie d'images. NB: les curieux remarqueront qu'il est facile d'adapter ce source pour qu'il gère le BBCode à la place des balises HTML autorisées ;o)
Source
- //Préformatage pour les étourdis :op
- $texte = ucfirst($texte);
-
- //Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
- $texte = str_replace ("\r", "", $texte);
-
- //Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
- $texte = str_replace ("\n", " </B></U></I><BR> ", $texte);
-
- //On garde une copie de l'original
- $texteoriginal=$texte;
-
- //Suppression des caractères interdits
- $texte = str_replace ("-%","",$texte);
- $texte = str_replace ("%-","",$texte);
-
- //Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
- $texte = str_replace (array ("<BR>","<br>"),"-%BR%-",$texte);
- $texte = str_replace (array ("<B>","<b>"),"-%B%-",$texte);
- $texte = str_replace (array ("</B>","</b>"),"-%/B%-",$texte);
- $texte = str_replace (array ("<U>","<u>"),"-%U%-",$texte);
- $texte = str_replace (array ("</U>","</u>"),"-%/U%-",$texte);
- $texte = str_replace (array ("<I>","<i>"),"-%I%-",$texte);
- $texte = str_replace (array ("</I>","</i>"),"-%/I%-",$texte);
-
- //Decomposition du texte mot à mot
- $mots = explode(" ",$texte);
-
- //Boucle d'analyse de chaques mots
- $nbmots = count($mots);
- for ($i = 0; $i < $nbmots; $i++)
- {
- //Forcer les césures si un mot dépasse 50 caractères
- $motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
-
- //Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
- $motproteger = htmlentities($motproteger,ENT_QUOTES);
-
- //Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
- if (strpos($mots[$i],"@") > 3)
- {
- $mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
- }
- else if (strtolower(substr($mots[$i],0,7)) == "http://")
- {
- $motproteger = strtolower($motproteger);
- if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
- $mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
- }
- else if (strtolower(substr($mots[$i],0,4)) == "www.")
- {
- $motproteger = strtolower($motproteger);
- if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
- $mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
- }
- else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Mort de rire\">:o))</B>";
- }
- else if ($mots[$i] == ":o)")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Content(e)\">:o)</B>";
- }
- else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil amusant\">;o))</B>";
- }
- else if ($mots[$i] == ";o)")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil\">;o)</B>";
- }
- else if ($mots[$i] == ":op")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue\">:op</B>";
- }
- else if ($mots[$i] == ";op")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue et cligne de l\'oeil\">;op</B>";
- }
- else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Pleure\">:o((</B>";
- }
- else if ($mots[$i] == ":o(")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Boude\">:o(</B>";
- }
- else if ($mots[$i] == ":o.")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Etonné\(e\)\">:o.</B>";
- }
- else if ($mots[$i] == ":o|")
- {
- $mots[$i] = "<B CLASS=Smileys TITLE=\"Sans voix\">:o|</B>";
- }
- else
- {
- //Pour un mot banal, on utilise la version protégée sans balises HTML actives
- $mots[$i] = $motproteger;
- }
- }
-
- //Recolle les mots du texte
- $texte = implode(" ",$mots);
-
- //On restaure la syntaxe des balises autorisées
- $texte = str_replace ("-%","<",$texte);
- $texte = str_replace ("%-",">",$texte);
-
- //On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
- //Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
- $texte = addslashes($texte);
//Préformatage pour les étourdis :op
$texte = ucfirst($texte);
//Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
$texte = str_replace ("\r", "", $texte);
//Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
$texte = str_replace ("\n", " </B></U></I><BR> ", $texte);
//On garde une copie de l'original
$texteoriginal=$texte;
//Suppression des caractères interdits
$texte = str_replace ("-%","",$texte);
$texte = str_replace ("%-","",$texte);
//Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
$texte = str_replace (array ("<BR>","<br>"),"-%BR%-",$texte);
$texte = str_replace (array ("<B>","<b>"),"-%B%-",$texte);
$texte = str_replace (array ("</B>","</b>"),"-%/B%-",$texte);
$texte = str_replace (array ("<U>","<u>"),"-%U%-",$texte);
$texte = str_replace (array ("</U>","</u>"),"-%/U%-",$texte);
$texte = str_replace (array ("<I>","<i>"),"-%I%-",$texte);
$texte = str_replace (array ("</I>","</i>"),"-%/I%-",$texte);
//Decomposition du texte mot à mot
$mots = explode(" ",$texte);
//Boucle d'analyse de chaques mots
$nbmots = count($mots);
for ($i = 0; $i < $nbmots; $i++)
{
//Forcer les césures si un mot dépasse 50 caractères
$motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
//Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
$motproteger = htmlentities($motproteger,ENT_QUOTES);
//Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
if (strpos($mots[$i],"@") > 3)
{
$mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,7)) == "http://")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,4)) == "www.")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Mort de rire\">:o))</B>";
}
else if ($mots[$i] == ":o)")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Content(e)\">:o)</B>";
}
else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil amusant\">;o))</B>";
}
else if ($mots[$i] == ";o)")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil\">;o)</B>";
}
else if ($mots[$i] == ":op")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue\">:op</B>";
}
else if ($mots[$i] == ";op")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue et cligne de l\'oeil\">;op</B>";
}
else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Pleure\">:o((</B>";
}
else if ($mots[$i] == ":o(")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Boude\">:o(</B>";
}
else if ($mots[$i] == ":o.")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Etonné\(e\)\">:o.</B>";
}
else if ($mots[$i] == ":o|")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Sans voix\">:o|</B>";
}
else
{
//Pour un mot banal, on utilise la version protégée sans balises HTML actives
$mots[$i] = $motproteger;
}
}
//Recolle les mots du texte
$texte = implode(" ",$mots);
//On restaure la syntaxe des balises autorisées
$texte = str_replace ("-%","<",$texte);
$texte = str_replace ("%-",">",$texte);
//On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
//Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
$texte = addslashes($texte);
Conclusion
Merci de me le signaler si vous voyez une faille de sécurité dans ce système.
Sources de la même categorie
Commentaires et avis
|
Derniers Blogs
[DIVERS] SUIVRE VOS SéRIES PRéFéRéS SUR LA TOILE[DIVERS] SUIVRE VOS SéRIES PRéFéRéS SUR LA TOILE par orion
Comme de nombreux geek, je suis un grand amateur de série TV et je rate régulièrement des épisodes de mes séries préférés. Une solution s'offre à vous avec ce merveilleux site : Tv Gorge - www.tvgorge.com Moteur de recherche à l'appui, vous pouvez ...
Cliquez pour lire la suite de l'article par orion TECHDAYS PARIS 2010 : LA BI DANS SHAREPOINT 2010TECHDAYS PARIS 2010 : LA BI DANS SHAREPOINT 2010 par ROMELARD Fabrice
Animé par: Vincent Bellet et Baptiste Giraudier La BI dans SharePoint 2010, Les nouveaux services d'application dans SP2010 et SQL Server Reporting services 2008 R2. La BI dans SharePoint est généralisée pour tous afin de permettre à tous les coll...
Cliquez pour lire la suite de l'article par ROMELARD Fabrice TECHDAYS PARIS 2010 : PLAN DE MIGRATION VERS SHAREPOINT 2010TECHDAYS PARIS 2010 : PLAN DE MIGRATION VERS SHAREPOINT 2010 par ROMELARD Fabrice
Animé par: Arnault Nouvel et Antoine Dongois Le processus à prendre : Apprendre (découvrir la plateforme) Préparer (documenter l'historique et choisir la méthode de MAJ) Test (Test de MAJ) Implémenter (Effectuer la MAJ) Valid...
Cliquez pour lire la suite de l'article par ROMELARD Fabrice TECHDAYS PARIS 2010 : LA PLEINIèRE DU SECOND JOURTECHDAYS PARIS 2010 : LA PLEINIèRE DU SECOND JOUR par ROMELARD Fabrice
Après un retour sur l'histoire des TechDays de Paris et le fait que ce soit le plus gros event MS au monde (du fait de sa gratuité), le président de MS France (Eric Boustoullier) a fait une présentation de la vision Microsoft pour les années à venir...
Cliquez pour lire la suite de l'article par ROMELARD Fabrice
Logiciels
DB-MAIN (9.1.0)DB-MAIN (9.1.0)DB-MAIN is a data-modeling and data-architecture tool. It is designed to help developers and anal... Cliquez pour télécharger DB-MAIN Xilisoft DPG Convertisseur (5.1.37.0120)XILISOFT DPG CONVERTISSEUR (5.1.37.0120)Xilisoft DPG Convertisseur offre aux fans de Nintendo DS une bonne solution leur permettant de dé... Cliquez pour télécharger Xilisoft DPG Convertisseur GraphicsGale (2.01.01)GRAPHICSGALE (2.01.01)GraphicsGale est un logiciel de PixelArt avec de nombreuse fonctionnalités permettant de réalisé ... Cliquez pour télécharger GraphicsGale Architecte 3D (Platinum 2010)ARCHITECTE 3D (PLATINUM 2010)Architecte 3D Platinium vous permet de concevoir facilement les plans votre future maison, de l'é... Cliquez pour télécharger Architecte 3D TeamViewer 5 (TeamViewer 5)TEAMVIEWER 5 (TEAMVIEWER 5)Dépanner un ami,expliquer une manipulation devient un jeu d'enfant.
Prise en main d'un autre ord... Cliquez pour télécharger TeamViewer 5
|