Discussion :

[LO88ra]

Bonjour à tous,

J'ai un souci concernant le contrôle d'un Regex. Lorsque je met un <script>, ou autre caractère non autorisé, ma regex est censée stopper le script avec un die() et ne rien insérer dans la BDD. Elle marche parfaitement sur tous les champs qui l'utilise à part sur un ! je comprends pas pourquoi

Là où ça ne fonctionne pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
public function update_presentation()
	{
		if ( isset($_POST['content']) && !empty($_POST['content']) ) {
			$presentation = htmlspecialchars($_POST['content']);
 
			if ( RegexControl ::authorizeParagraphe($_POST['content']) ) {
				$compteur_mots = str_word_count($presentation);
				if ( $compteur_mots >= 30 ) {
					if ( $compteur_mots <= 65 ) {
 
						$param = array(
							"presentation" => $presentation
						);
 
						$this -> homeManager -> update($param);
						die("Modification effectuée avec succès !");
 
					}
					else {
						die("Erreur: nombre de mots supérieur à la limite autorisée (65 max)");
					}
				}
				else {
					die("Erreur: nombre de mots insuffisants (" . $compteur_mots . "). Le texte doit contenir au moins 30 mots");
				}
			}
		}
		else {
			die("Erreur: la variable est vide et/ou n'existe pas");
		}
	}

La regex

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
public static function authorizeParagraphe($input){
		$re = '/^[\w\s,\-"\'.():?!ÉÈêéèàîùç$\/]+$/ixm';
		if ( preg_match($re , $input) ) {
			return true;
		}
		else {
			die ("Le texte contient des caractères interdits");
		}
	}

[Celira]

Tu as un exemple de texte qui devrait passer et qui ne passe pas ?

ma regex est censée stopper le script avec un die()

C'est violent comme traitement quand même. "Utilisateur, tu as écrit des choses non autorisées, ton application va maintenant planter." (*) Un petit return false; ne serait-il pas plus adéquat ?

(*) Bon, j'avoue, on a tous un jour ou l'autre rêvé de pouvoir écrire un message d'erreur de ce genre là.

[LO88ra]

Bonjour Celira,

J'ai trouvé d'où venez le problème, j'ai rajouté un trim(), et du coup cela a fonctionné !
Pour le die(), je préfère stopper le script, après ce n'est pas dérangeant pour l'utilisateur vu que ce sont des requêtes ajax, il ne quitte pas la page

[CosmoKnacki]

Ta regex totalitaire n'en est pas moins une vraie passoire pour deux raisons:

• tu utilises le modificateur m, ce qui change la signification des ancres ^ et $ qui vont alors matcher le début et la fin de ligne (en lieu et place du début et de la fin de la chaîne). Conséquence, si je m'amuse, par un procédé directement inspiré par Belzébuth via la console javascript de mon navigateur, à envoyer une chaîne de plusieurs lignes dont une seule vérifie ta pattern, je peux faire passer strictement n'importe quoi. Exemple:

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  $str = "<°))))))>\nabc\n<((((((°>";
  $re = '/^[\w\s,\-"\'.():?!ÉÈêéèàîùç$\/]+$/ixm';
  var_dump(preg_match($re, $str)); // int(1)

• ta classe de caractères contient des caractères accentués, qui en utf8 sont encodés sur plusieurs octets (voir https://www.utf8-chartable.de/), or tu n'utilises pas le modificateur u qui, entre autres choses, précise que la pattern doit être lue en utf8, ce qui fait que chacun des octets qui composent ces caractères accentués sont à l'heure actuelle vus comme indépendants de la lettre à laquelle ils sont supposés appartenir. Ce qui fait que ta classe de caractères munie du quantificateur + peut se livrer à n'importe quelle combinaison de ces octets "libres":

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  $str = "\xa7\xa7\xa7"; // A7 est le deuxième octet qui compose le ç en utf8 (C3 A7)
  var_dump(preg_match($re, $str)); // int(1)

  Autre conséquence, ces caractères accentués étant vus comme de simple octets libres et sans ordre particulier et pas comme des code point unicode représentant des lettres, le modificateur i sera inopérant en ce qui les concerne.

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  var_dump(preg_match('/É/i', 'é')); // int(0)
  var_dump(preg_match('/É/iu', 'é')); // int(1)

Je te propose:

• de retirer le modificateur m, et d'utiliser systématiquement \A et \z comme ancres pour désigner le début et la fin de la chaîne (ce qui évite des ennuis liés à une subtilité de $).
• d'ajouter le modificateur u pour gérer l'encodage utf8 de la pattern.
• d'utiliser éventuellement des classes de caractères unicode moins restrictives qu'une liste de caractères isolés, par exemple $re = '~\A [\p{Latin}\s0-9"\',.:?!()$/-]+ \z~xu'; (voir les Unicode character properties http://pcre.org/pcre.txt)