Discussion :

[Invité]

Bonjour à tous,

Peut-être que ce sujet a déjà été évoqué, mais je n'ai rien trouvé.

Voilà, je voudrais m'assurer au maximum que la saisie utilisateur ne contienne pas de code malveillant pour certains formulaires, je n'ai donc autorisé que certaines balises grâce à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strip_tags($text, '<p><b><i><u><ul><li><em><span><br><br /><hr>')

.

Maintenant, même en faisant ceci, il n'est pas impossible que dans ma balise <p> par exemple, j'ai un onClick par exemple. C'est ce genre de chose que j'aimerais éviter et donc je voudrais que les balises que j'ai autorisé soient épurées de tous les attributs.

Seulement j'ai beau chercher et essayer je n'arrive pas à trouver la bonne expression qui me permettrait de faire ça ... en plus je suis pas super à l'aise avec les expressions alors j'y arrive vraiment pas. J'ai essayé plein de choses et la dernière en date c'est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('#<p(.)*>#','<p>',$text);

(bon là j'ai mis pour la balise P car je voulais déjà m'assurer d'y arriver pour une balise avant d'aller plus loin).

D'avance merci pour votre aide !!

[Zwiter]

Tu peux essayer cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_replace('#<p[^>]*>#','<p>',$text);

Qui signifie : tout ce qui commence par <p, puis qui est suivit de 0 ou plusieurs caractères différents du >, et qui se termine par >/
Z.

[Invité]

Merciiiiiiii beaucoup à toi !! avec l'explication en plus pour être sure d'avoir bien compris, c'est parfait, ça marche bien.

Et quand on regarde la solution comme ça, ça a l'air tellement simple ... ça m'ait même pas venu à l'esprit d'interdire des caractères plutôt que de tout autoriser ...

Par contre, pour continuer là dessus, j'aimerais savoir s'il est possible de simplifier les choses de la manière suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$allowed_tags = array('p','b','i','u','ul','li','em','span','br','hr');
 
$mask ='/<$élément_du_tableau[^>]*>/i'; //élément_du_tableau est récupéré de $allowed_tags

En fait, si j'ai un tableau des balises autorisées, est-ce possible de récupérer chaque élément du tableau pour construire le masque qui correspondrait bien et le remplacer par la balise correspondant également ?

En fait c'est juste pour savoir si je dois faire directement "en dur" un masque pour chaque balise ... Je sais qu'on peut faire des tableaux de correspondances entre les masques et les chaînes de remplacement, mais moi je veux savoir si on peut rendre la saisie du masque "plus simple".

Merci d'avance

[s.n.a.f.u]

Salut,

Ca peut se faire, comme ça par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$str = "<p class='foo'> <span id='bar'>hello world</span> </p>";
 
$tags = array('p', 'span');
 
$reg = sprintf("#<(%s)[^>]*>#i", implode('|', $tags));
 
echo preg_replace($reg, '<$1>', $str);

Mais vu que tu n'as déjà gardé que les balises qui te convenait, tu peux aussi faire plus simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$str = "<p class='foo'> <span id='bar'>hello world</span> </p>";
 
$reg = '/<(\w+)[^>]+>/i';
 
echo preg_replace($reg, '<$1>', $str);

[Invité]

Ok, merci je vais tester ça.

Par contre j'ai regardé dans la doc pour m'assurer de bien comprendre, j'ai bien compris le \w qui est très logique car je fais déjà une épuration juste avant pour garder les balises souhaitées.

Par contre j'ai rien trouvé sur le <$1>, ou ce que j'ai pu trouver je ne le comprend pas (en tout cas ça correspond pas à ce que tu fais). Pourrais-tu m'expliquer à quoi cela correspond ou me donner un lien vers la doc correspondante, ce serait super sympa, car juste recopier c'est bof quand même

merci d'avance !

[s.n.a.f.u]

Le $1 correspond tout simplement à ce qui est attrapé par la première parenthèse capturante.