Discussion :

[kenobi54]

Bonjour à tous,
Je suis en train de réaliser mon projet de site et j'aurais quelques questions à vous poser.
Ce site serait une sorte de forum d'articles sur la culture geek (en général). Et je me pose cette question : est-ce que je peux laisser l'utilisateur taper du code javascript/php pour illustrer son article (un exemple de programme, d'application du code de son article ... etc) ?
Je suis conscient de l'énorme problème de sécurité qui se présente. Mais néanmoins, il y a t-il des solutions pour limiter les soucis ? Je pensais à deux choses :

• Utiliser une balise [script] de style BBcode
• Utiliser une regex pour invalider le script si celui-ci tente d'accéder à des cookies...
• Déporter le script sur un sous-domaine autre hébergeur pour du PHP/JS

Pour ma deuxième idée, quels seraient les méthodes de "hacks" pour les blacklister dans une regex ? Est-ce que ma troisème idée peut protéger plus mon site web ?

Merci de vos avis,
Kenobi54

[Vil'Coyote]

c'est sur que sans traitement c'est très risqué.
mais il existe des fonction / script / outil qui te permettre de sécuriser ça.

http://qbnz.com/highlighter/
http://www.sitepoint.com/highlight-source-code-php/

[kenobi54]

Merci pour cette information,
effectivement un highlighter permet d'afficher le code colorée
Mais comment autoriser un script non dangereux tapé par un utilisateur à être exécutable dans une page ? Mis à part vérification humaine, un script qui vérifie la dangerosité d'un script "visiteur" est il possible à réaliser, en prenant en compte toutes (au moins la plupart) des techniques de vol d'aujourd'hui ?

[Muchos]

http://jsfiddle.net/ ?