SÉCURISER UN TEXTE ENREGISTRÉ SUR LE SERVEUR : SUPPRIMER L'EXECUTION DU PHP ET JAVASCRIPT

Commentaire de Arnauti le 26/06/2005 20:31:30

Je trouve que ce code est tres pratique, moi qui savait pas comment faire.

Merci,
       A++

Commentaire de Anthomicro le 26/06/2005 22:22:09

oui c'est plus rapide ;-)

Commentaire de MadM@tt le 26/06/2005 23:16:32

;) merci c'est sympa

pour la modif je vais la faire merci

Commentaire de Anthomicro le 27/06/2005 18:06:33

Ce n'est pas plus simple que sa source, et ça ne fonctionne pas dans toutes les situations :-)

Commentaire de ImmortalPC le 27/06/2005 21:08:29

La dès que les infos arrivent elles sont traitées.
Donc je voie pas où est le problème ?
>"ça ne fonctionne pas dans toutes les situations"
Où as tu vu ça !?

+

Commentaire de sjon le 28/06/2005 00:07:47

Sael og blesud

Une autre solution intéressante :

function RemoveScriptstr($str)
{
    $str = str_replace(array('<script','</script>','<?','?>'), array('<xmp><script','</script></xmp>','<xmp><?','?></xmp>'), $str);
    return $str;
}

Cela conserve le multi-ligne éventuel et désactive le script Par ailleurs vous pouvez appliquer un style au xmp via css pour qu'il soit en rouge par exemple ... Et cela permet en plus de concerver les "<" ">" au lieu d'avoir &lt; et &gt; ...

Sigurjón Bírgir Sigurðssón aka Sjón

Commentaire de malalam le 28/06/2005 09:42:32 administrateur CS

Ca ne marche plus partout ca, a priori. C'est un element obsolete.
En tous cas ca ne marche pas chez moi lol.

Commentaire de Anthomicro le 28/06/2005 09:54:52

dans sa fonction tu mets ce que tu veux, t'as rien à remplacer, je vois donc pas l'utilité de compliquer la chose, surtout en disant que c'est plus simple... non ?!

Commentaire de Anthomicro le 28/06/2005 10:07:29

bah c'est pourtant clair lol

Commentaire de sjon le 28/06/2005 12:54:53

Sael og blesud

>> Malalam : " Ca ne marche plus partout ca, a priori. C'est un element obsolete.
En tous cas ca ne marche pas chez moi lol. " Je présume que c'était pour moi ;-) ... En fait je m'en était servi il y a quelques temps sur un Intranet ( vous savez là où la configuration du parc est " contrôlable " ... ? ;-) ) donc je pense qu'il faudrait effectivement le réécrire sans le xmp mais cela peut donner des idées ... ;-) Par ailleurs je l'ai testé sur windows Mobility 2003 2nd Edition en vm et cela fonctionnait ... ( Bah oui j'étais en esqualle à Manille pour 1h, fallait faire le plein à la pompe ;-), et les aéroports question Wifi c'est le top !!! ;-) ... )

Sigurjón Bírgir Sigurðssón aka Sjón

Commentaire de MadM@tt le 28/06/2005 17:38:33

Euh petite précision pour ceux qui se poseraient des questions : dans la description du code en haut de la page lorsque j'écrit :
"Comme ça dans la page on a ça :
<?
echo "Hello World !!";
?>"

Les caractères "<" et ">" étaient censé être des codes html ("& l t ;"  et  "& g t ;") mais ils sont interprétés lors de l'affichage de la page (normal) donc voilà je précise sinon ce qui est écrit n'a pas de sens :S

Commentaire de MadM@tt le 29/06/2005 14:11:01

Lis un peu la présentation du code, si on fait ce que tu dis ça supprime meme les balises html, ce que l'on ne veut pas...
Car dans ton cas autant utiliser la fonction htmlentities() et ça revient à ce que tu as dit...

Donc non, ça ne revient pas au meme et ce n'est pas ce qu'on cherche

Commentaire de malalam le 30/06/2005 10:26:50 administrateur CS

Hello,

heu non, c'est l'effet "norme XHTML" en fait, lol.

Commentaire de Anthomicro le 01/07/2005 01:25:58

Ce qui veut dire ? (lol)

Commentaire de mantalo le 26/09/2005 12:42:15

ben moi parcontre je suis un vrai debutant pur et dur. Pour moi la sécurité et primordiale, mais je ne comprend pas lutiliter du script. je ve pas dire quil est inutile mais que je ne comprends pas ce qu'il fait, et a koi ca sert au nivo sécuritaire

Je vous remerci de m'explique et de ne pas me lincher^^.

Commentaire de malalam le 27/09/2005 08:31:12 administrateur CS

Pour montrer comment est probablement codé htmlentities() ... (language mis à part) ? ;-)

Commentaire de malalam le 27/09/2005 09:04:20 administrateur CS

Tien, salut Sjon (ah ben j'ai pas trouvé l'accent là) :-) Ca va ?

Commentaire de malalam le 27/09/2005 09:13:52 administrateur CS

Ca va, ça va, je me prends la tête avec du Delphi là (c'est nul ce langage, lol).
Tu en as pour combien de temps...?

Commentaire de MadM@tt le 05/11/2005 15:17:22

mantalo >> Désolé de ne pas avoir répondu plus tot. Si tu avais lu la présentation de la source tu aurais lu :
"C'est vraiment con et c'est rien de nouveau : ça empèche juste le javascript et le php d'etre interprété (extensible à l'asp)...
Attention : ça n'empèche pas l'hmtl de s'executer, sinon autant utiliser htmlentities() et ça n'est pas le but..."
Car voilà dans un forum par exemple, tu poste un message, et si tu veux tu peux le formater, c'est à dire mettre en gras un passage, souligné etc... Mais tu peux aussi mettre du script Javascript, ou du PHP etc.. Mais avec les scripts n'importe qui peut faire des trucs dangereux, donc il faut interdire le javascript, php etc... et autoriser le html.

En php il existe la fonction htmlentities qui interdit toute balise, donc tout script ET tout code html, ce qui ne me convient pas. Donc j'ai codé moi meme une fonction qui désactive seulement les scripts.
Voilà

Commentaire de MadM@tt le 05/11/2005 18:08:08

oui mais moi je veux qu'ils puissent utiliser l'html
En tout cas j'ai pas arreté de demander une fonction comme ça sur les forum et pas de réponse alors :( jlai faite moi meme.

Commentaire de MadM@tt le 05/11/2005 18:30:04

Ben jviens juste d'aller sur nexen pourtant j'ai du louper un truc alors.
Si tu pouvais m'expliquer comment faire, je sais pas, y'a des paramêtres à passer ?
Pendant ce temps jvai la tester.

Commentaire de MadM@tt le 05/11/2005 21:33:17

Ah ok je vois, mais encore une fois ça va pas dsl ;)
C'est un site de programmation, donc dans le forum et tout je vois mal comment les utilisateurs pourront se donner des bouts de code en php ou js par exemple si c'est supprimé. Je veux que ça soit affiché moi, mais pas interprété.

Commentaire de MadM@tt le 05/11/2005 21:49:30

Présentation de la source : "Attention : ça n'empèche pas l'hmtl de s'executer, sinon autant utiliser htmlentities() et ça n'est pas le but..."
Et je n'ai pas trouvé comment faire d'exceptions pour les balises html avec htmlentities

Commentaire de MadM@tt le 05/11/2005 23:15:22

j'ai regardé mais ça revient un peu au meme que ce que j'ai fait non ?, on remplace "à la main" après avec strtr non ?
Par contre je serai interessé par si qqn avait des idées pour supprimer les "petits" appels de javascript de ce style : onmouseout="mnuLightOff(this)" enfin les appels de JS par les evenement quoi.

Commentaire de Kevin007 le 27/11/2005 10:50:39

Bonjour bonjour,

Pourquoi ne pas utiliser la fonction strip_tags() et ses deux paramètres ?

strip_tags( $string, '<strong><li><lu><span><div>[etc...]' )

Le deuxième paramètre contient la liste des balises (HTML dans ton cas) à ne pas supprimer.

PS : Si l'option asp_tags de PHP est activée (je sais, il faut être tordu) ta vérification est caduque.

Voilà, A+