Discussion :

[AlphaYoDa]

Bonjour,

Suite à l'ajout d'un éditeur wysiwyg pour la gestion du contenu html en ligne (http://tinymce.moxiecode.com/) j'ai peur que les utilisateurs puissent ajouter du code javascript.

L'éditeur bloque ce genre de code mais une attaque pourrait se produire par la méthode POST.

Est-ce que quelqu'un a une fonction qui permette de supprimer le code javascript d'un texte html ? Y compris par exemple, les onclick etc.

Merci

edit: je viens de trouver ça qui a l'air pas mal : http://pixel-apes.com/safehtml

[polace]

AlphaYoDa tu devrais, poser ta question dans le forum javascript

[AlphaYoDa]

c'est pourtant du PHP que je cherche ,)

[chaced]

c'est pourtant du PHP que je cherche ,)

Tu interpretes le HTML ou pas apres ?

Si tu affiches le texte saisie (genre comme sur le forum), tu peux utiliser htmlentities ou htmlspecialchars, ça transforme les balises en ascii html.

[AlphaYoDa]

j'affiche l'HTML comme il est dans la base de donnée vu que l'éditeur me donne le code tout prêt.

Mais je crois avoir trouvé la solution avec safeHTML qui s'occupe de supprimer les balises dangereuses !

[psychoBob]

Tu ne peux pas placer un str_replace qui te supprime exclusivement la balise <script></script> ?

[AlphaYoDa]

le but étant de sécuriser, il y a beaucoup d'autres fonction "dangereuses".