Discussion :

[vodnok]

Bonjour à tous,

Je reçois un string venant d'un flux RSS. Certains champs du RSS contiennent du code HTML et il est possible d'y mettre aussi du javascript même si je n'en ai jamais vu à ce jour. Lorsque j'affiche sur mon site le contenu du RSS, j'utilise donc une fonction de sécurisation de string qui neutralise l'HTML et javascript.

Evidemment cela à pour conséquence que si un flux utilise de l'HTML en abondance, cela n'est plus lisible vu que les balises HTML sont affichée en clair. De plus pour mon système d'indexation, ça foire tout vu que le code HTML entre alors en compte.

Donc j'aimerais pouvoir nettoyer un string de tout code HTML pour n'avoir que l'information pertinente.

Dans un second temps, j'aimerais détecter les liens vers des images mais là je pense que via un regex cela ne devrait pas être trop compliqué quoiqu'avec tous les différents types de fichier images... jpg, png, gif. Une fois cela fait, il faut que je vérifie que l'image est bien une image valide.

Le problème est que l'HTML peut ne pas être valide. Si quelqu'un désire attaquer mon site en ajoutant un flux contenant un code malicieux... Donc il faut une solution radicale mais trop non plus.

Si je supprime tout ce qui se trouve entre <*> et <*/> ce serait déja un bon début.

Donc pour résumer:

1/ Enlever les balises HTML et Javascript d'un string pour qu'ils n'apparaissent à l'affichage (qui sera tout de même sécurisé)
2/ Sortir les liens vers des images se trouvant dans un string
3/ Valider les images (content_type) il me semble


Merci,

[jeca]

Bonjour,

Pour la suppression des balises HTML, il y a la fonction strip_tags().

[vodnok]

ho le noob que je suis... je pensais que strip_tags ça neutralisait sans les enlever. Merci.

De plus, il y a la possibilité de striper en ignorant certaines balises.

[ThomasR]

Si tu enleves tout le HTMl je vois pas tellement comment tu pourras afficher des images

[alceste]

ho le noob que je suis... je pensais que strip_tags ça neutralisait sans les enlever. Merci.

De plus, il y a la possibilité de striper en ignorant certaines balises.

comme ceci

[vodnok]

Effectivement mais je vais probablement retirer toutes les balises y compris les images dans un premier temps.

Ensuite, je vais filtrer la source pour récupérer éventuellement les images, je vérifie que c'est bien des images via le content-type et je les lies au text dans la bdd. Comme cela je peux indexer les images, m'assurer que c'est effectivement des images et pas du code derrière et je maitrise l'affichage des images.


Pour vérifier qu'une image est bien une image, le test sur le content-type suffit ? Je voudrais éviter qu'une personne post un lien vers une images qui en fait un point vers un script. Je me souviens que sur Ogame, il était possible via l'image de l'alliance, pour ceux qui connaisse, on pouvait cacher du code et recupérer les cookies.