Sécurité et options d'un formulaire

Gizmil · 01/03/2011, 13h15

Salut,

j'aimerais savoir s'il n'est pas dangereux, niveau sécurité, de créer des champs texte tels que input ou textarea dans lesquels il est possible d'insérer du html ?

Comment puis-je empêcher l'insertion de certaines balises ou de toutes les balises et en autoriser d'autres ? En fait, j'aimerais autoriser l'insertion d'images (smileys) que je pense éventuellement faire apparaître de cette façon :

HTML :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<smiley1></smiley>

CSS :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
smiley1{  
    height:16px;  
    width:16px;  
    background-image:url(monsmiley1.png);  
}

J'aimerais également savoir comment insérer un contenu de variable String dans un champ textarea via un bouton.

Merci! (-;

gene69 · 01/03/2011, 13h38

une donnée est une donnée. Du moment que tu traites ta donnée en tant quel, elle n'est pas dangeureuse intrisequement.

Apres si tu veux afficher la donnée ça se complique. Si tu autorises tout et n'importe quoi, ce n'est pas dangereux pour toi mais pour ton visiteur qui verra une page qui pourra être vandalisée.

Pour lutter contre ça, il suffit d'un peut d'astuce et de limiter les balises authorisées dans le code html. Tidy fait ça tres bien.

Si tu passes en xhtml avec un code non valide, la page ne s'affichera pas du tout ce qui est aussi un autre probleme.

pour ton second probleme, tu fais un bouton genre <button> ou <input type="button" /> je ne sais pas quel langage tu utilises et avec un peu de JS (prototype => 1 updater() ) et tu places un listener sur le onclick.

sabotage · 01/03/2011, 13h38

Ce n'est pas l'insertion qui pose problème mais ce que tu fais ensuite des données saisies.

Le plus simple est de ne pas autoriser le HTML ; donc utilisation de strip_tags() eventuellement et htmlentities() ensuite pour le ré-affichage des données.

Tu peux ensuite prévoir un système à la faç on BBCODE [smiley][/smiley] avec une expression régulière qui fait la transformation.

radicaldreamer · 01/03/2011, 13h41

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
  function allowed_tags($input, $validTags = ''){
        $regex = '#\s*<(/?\w+)\s+(?:on\w+\s*=\s*(["\'\s])?.+?\(\1?.+?\1?\);?\1?|style=["\'].+?["\'])\s*>#is';
        return preg_replace($regex, '<${1}>',strip_tags($input, $validTags));
  } 
 
echo allowed_tags('<strong><i>hello world!</i></strong>'); // hello world! (en gras et italique)
echo allowed_tags('<strong><i>hello world!</i></strong>', '<i>');//hello world! (uniquement en gras)

?

gene69 · 01/03/2011, 16h03

pour le bbcode j'avais repris une classe d'un forum punbb à l'époque.

01/03/2011, 13h38	#2
gene69 Membre Expert Inscription : janvier 2006 Messages : 951 Détails du profil Informations personnelles : Localisation : France Informations professionnelles : Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : janvier 2006 Messages : 951 Points : 1 063 Points : 1 063	une donnée est une donnée. Du moment que tu traites ta donnée en tant quel, elle n'est pas dangeureuse intrisequement. Apres si tu veux afficher la donnée ça se complique. Si tu autorises tout et n'importe quoi, ce n'est pas dangereux pour toi mais pour ton visiteur qui verra une page qui pourra être vandalisée. Pour lutter contre ça, il suffit d'un peut d'astuce et de limiter les balises authorisées dans le code html. Tidy fait ça tres bien. Si tu passes en xhtml avec un code non valide, la page ne s'affichera pas du tout ce qui est aussi un autre probleme. pour ton second probleme, tu fais un bouton genre <button> ou <input type="button" /> je ne sais pas quel langage tu utilises et avec un peu de JS (prototype => 1 updater() ) et tu places un listener sur le onclick. __________________ PHP fait nativement la validation d'adresse électronique Vous êtes perdu en PHP? rassurez-vous ici (en) Utilisez le bouton résolu!
	00

01/03/2011, 13h38	#3
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Ce n'est pas l'insertion qui pose problème mais ce que tu fais ensuite des données saisies. Le plus simple est de ne pas autoriser le HTML ; donc utilisation de strip_tags() eventuellement et htmlentities() ensuite pour le ré-affichage des données. Tu peux ensuite prévoir un système à la faç on BBCODE [smiley][/smiley] avec une expression régulière qui fait la transformation.
	00

01/03/2011, 16h03	#5
gene69 Membre Expert Inscription : janvier 2006 Messages : 951 Détails du profil Informations personnelles : Localisation : France Informations professionnelles : Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : janvier 2006 Messages : 951 Points : 1 063 Points : 1 063	pour le bbcode j'avais repris une classe d'un forum punbb à l'époque. __________________ PHP fait nativement la validation d'adresse électronique Vous êtes perdu en PHP? rassurez-vous ici (en) Utilisez le bouton résolu!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email