sécuriser les post d'un forum fait soi-même [Fait] [Résolu]

stars333 · 30/01/2008, 18h47

Bonjour,

J'ai fait un forum et les membre du site peuvent rentrer le message de leur post via un éditeur xhtml wysiwyg. Celui-ci est ensuite stockè dans une table de la base de donnée.

Mon problème est que je me demande comment sécurisé le message lors de l'affichage sur la page du forum pour qu'il n'affiche pas du code non désiré.
Seulement je souhaite conserver la mise en page html qui est possible gràce à l'éditeur wysiwyg.

Que me conseillez-vous ?

Merci de vos conseils,

FCYPBA · 30/01/2008, 20h14

Bonsoir,

Comme tu as fait le forum toi même et que tu souhaite garder la mise en page ( qui doit être du html ), il va te falloir nettoyer le code à la mano.

Dans un premier temps, il te faudra supprimer tout ce qui est javascript.
- balises <script>...</script>
- évènement ( onmouseout, ...)

Après je te conseillerai de supprimer tout ce qui peut-être css, appels aux fichiers externes, etc...

Cela devrait te prémunir contre les erreurs utilisateurs, et les attaques basiques.

Pour l'instant, il n'y a que cela qui me vienne à l'esprit.

stars333 · 30/01/2008, 22h37

Donc tu me conseilles d'utiliser les regex.
Le mieux serait donc que je les utilise avant d'entrer les info dans la base de donnée.

CR_Gio · 31/01/2008, 20h35

Bonjour,

Citation:

Que me conseillez-vous ?

Dans un premier temps je te conseilerai d'allé jeter un bon coup d'oeil ici et là
http://fr.wikipedia.org/wiki/Cross_site_scripting
http://fr.wikipedia.org/wiki/Cross-S...uest_Forgeries
...

Citation:

Donc tu me conseilles d'utiliser les regex.

Tu peux aussi utiliser SimpleXML ou readXML ... puisque le text est en HTML

30/01/2008, 18h47	#1
stars333 Membre du Club Inscription : janvier 2007 Messages : 149 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 149 Points : 51 Points : 51	sécuriser les post d'un forum fait soi-même Bonjour, J'ai fait un forum et les membre du site peuvent rentrer le message de leur post via un éditeur xhtml wysiwyg. Celui-ci est ensuite stockè dans une table de la base de donnée. Mon problème est que je me demande comment sécurisé le message lors de l'affichage sur la page du forum pour qu'il n'affiche pas du code non désiré. Seulement je souhaite conserver la mise en page html qui est possible gràce à l'éditeur wysiwyg. Que me conseillez-vous ? Merci de vos conseils,
	00

30/01/2008, 20h14	#2
FCYPBA Membre émérite Inscription : novembre 2004 Messages : 735 Détails du profil Informations personnelles : Âge : 33 Localisation : France, Paris (Île de France) Informations forums : Inscription : novembre 2004 Messages : 735 Points : 924 Points : 924	Bonsoir, Comme tu as fait le forum toi même et que tu souhaite garder la mise en page ( qui doit être du html ), il va te falloir nettoyer le code à la mano. Dans un premier temps, il te faudra supprimer tout ce qui est javascript. - balises <script>...</script> - évènement ( onmouseout, ...) Après je te conseillerai de supprimer tout ce qui peut-être css, appels aux fichiers externes, etc... Cela devrait te prémunir contre les erreurs utilisateurs, et les attaques basiques. Pour l'instant, il n'y a que cela qui me vienne à l'esprit. __________________ Pierre 1. Dans le manuel ( PHP, MySQL,..., rayez la mention inutile), tu te plongeras à deux fois plutôt qu'aucune. 2. Dans la doc php, tu liras attentivement les sections Chaines de caractères, Tableaux et Système de fichiers 3. Un code rapide c'est bien, un code maintenable c'est mieux ... Why was the font tag an orphan ? Because it didn't have a font-family.
	00

30/01/2008, 22h37	#3
stars333 Membre du Club Inscription : janvier 2007 Messages : 149 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 149 Points : 51 Points : 51	Donc tu me conseilles d'utiliser les regex. Le mieux serait donc que je les utilise avant d'entrer les info dans la base de donnée.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email