Besoin d'aide pour sécuriser un script

Bonjour,
Je me sert de htmlarea (editeur html WYSIWYG pour site web). Je souhaiterais enregistrer les données issues de ce script dans ma base de donnée. Hélas je ne peux pas utiliser htmlentities ni strip_tags pour gérer les problémes d'injection de code. Ces fonctions altérant le code HTML renvoyé par htmlarea ... De plus j'ai lu que la fonction addslashes utilisé seule ne garantit pas une protection suffisante

Auriez vous un ptit conseil pour hacher efficassement mes données (texte HTML) avant de les enregistrer dans ma BDD ...

Merci d'avance à tous

JP DC

Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment

Utilise la commande htmlentities(string) pour changé les <, >, etc. par leur code HTML qui va l'afficher.

----------------
eXon
http://www.lookstrike.com

Si j'utilise htmlentities et que je réaffiche la chaine derriére elle n'est plus interprété comme du html par internet explorer ... Autrement dit les balises apparaissent "en clair" sur la page ...



Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment

Si c'est l'executé ton code HTML je ne vois pas le problème. Tu n'as qu'à utilisé un addslashes lorsque tu l'envoi et stripslashes pour les enlever lors de l'affichage.

----------------
eXon
http://www.lookstrike.com

Salut ;-)

un addslashes et un truc de ce genre :

$texte=preg_replace('`(<script(.*?)>|</script>)`sim','',$texte);

ça fera sauter le javascript ;-)

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

Forum d'entraide informatique (14 catégories)

Ce que je voudrais c utiliser le HTML uniquement et me prémunir de toute injection de code ... La addslashes ne protége pas d'éventuelles injection de code et la solution de Anthomicro ne me protége que de l'injection javascript ...

Est - ce que quelqu'un peux me livre ce pti secret ?

Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment

J'ai oublié une autre question comment se protéger dans ce cadre d'éventuelles injection SQL  ???

Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment

Ah ok je comprends mieux. Même si du code PHP est entré dans ta base, il ne sera pas analysé par php. Le tout est de bien utiliser la fonction addslashes. Ensuite le bout de code que je t'ai passé enlève les balises correspondant au javascript pour éviter d'afficher des messagesbox, de faire des redirections...

Mais si tu nous précisais vraiment à quoi sert ton script, ce que tu veux faire on pourrait peut être t'aider mieux.

Donc la fonction addslashes protège complètement les insertions dans ta base. Comme l'insertion est protégée, je ne vois pas ce que tu peux faire de plus...

Pour éviter les failles de SQL injection : outre le fait d'utiliser addslashes, je préconise pour les logins et passwords d'empêcher les caractères spéciaux via une expression régulière :

if(eregi("[\^'$()*+<>?#\"{}\\]",$pseudo_membre) OR eregi("[\^'$()*+<>?#\"{}\\]",$passe_membre))
{
       //il y a des caractères spéciaux
      exit;
}

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

Forum d'entraide informatique (14 catégories)

Salut et merci,

C'est pour afficher un mise en page personnalisé pour mes utilisateurs que je cherche à utiliser htmlarea. Un peu comme dans le programme que tu utilises en ce moment pour me réspondre.
Je suis ok pour l'injection sql c comme ça que je fait aussi mais le probléme qui va se poser c'est que le script va bloquer mon insertion si l'utilisateur tape :

augmentation de 1% 
 
Pour moi interdire les caractére spéciaux n'est pas une solution en soit même si j'ai l'impressions que c'est la seule. De la même maniére ton code bloque les scripts javascript mais qu'en est-il des scripts Vb script ou des autres langages par exemple ...

Je ne connait rien en vbscript pourtant ne bloquer qu'un langage me semble une solution plutôt permissive ....


Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment

PS: concernant le hachage de login et mot de passe un simple cryptage md5() te prémunie de ce genre de désagréments ... Hélas on peux pas tout le tps utiliser un cryptage ...

Tout les hommes meurent un jour mais peu d'entre eux vivent vraiment