Discussion :

[jeronimo83]

Bonjour.

Dans mon backoffice j'ai un champs ckeditor et lorsque j'ajoute un nouvel enregistrement dans ma BDD les balises html ne sont pas échappées.

Ceci est très gênant, et permet d'insérer du javascript par exemple qui serait exécuté (j'ai testé et c'est bien le cas)

Je m'explique dans mon champs ckeditor je met ceci.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert(document.cookie)</script>

j'ai le même code dans ma bdd, ca ne devrait pas être ceci à la place?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert(document.cookie)</script&gt

Dans mon fichier settings.yml j'ai pourtant bien ceci.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
.settings:
    # Output escaping settings
    escaping_strategy:      true
    escaping_method:        ESC_SPECIALCHARS

Merci.

[ThomasR]

Bonjour,

D'après ce qui est dit dans cette doc cela ne sert qu'à échapper les variables dans les templates (c'est à dire à l'affichage et non à l'enregistrement) :

http://www.symfony-project.org/refer...fr/04-Settings

Tu peux faire un coup de htmlspecialchars avant d'enregistrer en DB.

[Michel Rotta]

En quoi le fait d'enregistrer du script dans la base pose-t-il un problème ?

Le MySql n'exécute pas le javascript.

Ce qu'il faut absolument, c'est l'échapper avant l'affichage, ce que symfony gère très bien.

Tu peux effectivement utiliser htmlspecialchars avant de le mettre dans la base, mais tu devra faire l'opération inverse lors de chaque récupération... Et t'es pas sorti de l'auberge.

Symfony est bien conçu niveau sécurité, là, il ne se trompe pas.

[jeronimo83]

En quoi le fait d'enregistrer du script dans la base pose-t-il un problème ?

Le MySql n'exécute pas le javascript.

Ce qu'il faut absolument, c'est l'échapper avant l'affichage, ce que symfony gère très bien.

Tu peux effectivement utiliser htmlspecialchars avant de le mettre dans la base, mais tu devra faire l'opération inverse lors de chaque récupération... Et t'es pas sorti de l'auberge.

Symfony est bien conçu niveau sécurité, là, il ne se trompe pas.

En fait ce champs contient du HTML, qui est donc inséré en bdd.
Lors de l'affichage je veux que ce code html soit interpreté, donc je fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$active_post->getExcerpt(ESC_RAW)

En faisant comme ceci mon post est donc bien nickel avec sa mise en forme html etc.

Cependant si quelqu'un insère du javascript il sera exécuté et ca il ne faut absolument pas; voila ce qui m'embête.

[Michel Rotta]

tu as parfaitement raison.

Je modifierais la méthode get de l'objet base de donnée.

Le méthode d'origine est expliquée sur développez.net supprimer les balise script et leur contenu.

Donc dans le modèle de ta table, le champ s'appellera info

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
public function getInfo($Info)
{
   $info = preg_replace('@<script[^>]*?>.*?</script>@si', '', $info);
   parent::_set('info', $info);
}

Ainsi tu n'a rien a changer dans tes form et d'où que vienne l'information tu es sur qu'elle sera propre dans la base.

[jeronimo83]

Merci mim68, c'est nickel