FILTER_SANITIZE_STRING et REGEX gestion des apostrophes

Version imprimable

Bonjour à tous et à toutes.

J'ai un soucis, avec une regex. Je veux contrôler ce que l'utilisateur entre dans le champ d'un formulaire et y autoriser les apostrophes.

or j'utilise ceci:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
<?php
// CLean all POST and GET
	if(($_SERVER['REQUEST_METHOD'] == 'POST') && !empty($_GET)){
 
		// we trim all the post array
		$_POST = array_map('trim', $_POST);
 
		//Strip tags, optionally strip or encode special characters.
		$_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);
 
    }
 
    if(($_SERVER['REQUEST_METHOD'] == 'GET') && !empty($_GET)){
		// we trim all the post array
		$_GET = array_map('trim', $_GET);
 
		//Strip tags, optionally strip or encode special characters.
		$_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
 
 
    }

et le FILTER_SANITIZE_STRING, change mon apostrophe en &#36, si j'ai bien compris et donc ma variable ne match plus la regex suivante.

Code:

1
2
3
4
5
6
7
8
9
10
 
function name_validation_regex($text){
 
 
    if(preg_match ('/^[a-zA-ZàáâäãåąčćęèéêëėįìíîïłńòóôöõøùúûüųūÿýżźñçčšžÀÁÂÄÃÅĄĆČĖĘÈÉÊËÌÍÎÏĮŁŃÒÓÔÖÕØÙÚÛÜŲŪŸÝŻŹÑßÇŒÆČŠŽ∂ð ,.\']+$/', $text)){
        return TRUE;
    }else{
        return FALSE;
    }
}

Je bloque dessus et j'ai essayé plusieurs solutions mais rien n'y fait.

Merci d'avance.

09/09/2020, 20h45
Séb.

C'est une très mauvaise idée de travailler sur une chaîne échappée 😉

Perso je ferais un sanitize non codant.

Le codage doit être effectué selon le traitement suivant, ex. échappement SQL avant requête (pour se protéger des infections), codage HTML lors de l'affichage <p>Login <?= htmlspecialchars($login) ?></p> (ainsi ta data reste neutre et portable)

Autre point, dans ta regexp tu places tes entités HTML dans un classe de caractères, elles ne seront donc pas matchées, il faudrait des parenthèses non capturantes.

Sinon y'a un flag FILTER_FLAG_NO_ENCODE_QUOTES qui te suffira peut-être.
09/09/2020, 21h11
CosmoKnacki
Rien d'étonnant car c'est ce que FILTER_SANITIZE_STRING est censé faire!

Si tu ne souhaites pas que les simples quotes ' et les doubles-quotes " soient transformés en entités html, tu peux adjoindre le flag FILTER_FLAG_NO_ENCODE_QUOTES à ton filtre:

Code:

$_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING, FILTER_FLAG_NO_ENCODE_QUOTES);

Maintenant, je t'invite à te demander si ce filtre est adapté à tes besoins et s'il peut s'appliquer indifféremment à tous les champs transmis en POST ou GET comme tu le fais. Peut-être faudrait-il envisager des filtres plus personnalisés. À toi de voir.

Sinon:
Code:

1 2 3 function name_validation_regex($text) { return (bool) preg_match("~\A [\p{Latin} ,.']+ \z~ux", $text); }
Voire renomme la en name_validation tout court ou en validate_name. (Le nom d'un fonction doit faire comprendre ce qu'elle fait, pas comment elle le fait.)

Le modificateur x ignore les espaces et autres caractères blancs dans la pattern sauf à l'intérieur d'une classe de caractères (ce qui tombe bien d'ailleurs).
Le modificateur u permet de gérer correctement les chaînes de caractères contenant des caractères hors de la zone ASCII: ces caractères étant codés sur plusieurs octets, sans ce modificateur, ta classe de caractères peut très bien prendre n'importe quels de ces octets pour recomposer un caractère qui n'y figure pas (ce qui peut résulter à de faux positifs). Avec le modificateur, chaque caractère est vu comme une séquence d'octets indissociables et ce méli-mélo n'est plus possible. Aussi, il force la lecture de la chaîne sujet en utf-8 et renvoie une erreur lorsque l'encodage n'est pas valide.
09/09/2020, 21h34
CosmoKnacki

Citation:

Envoyé par Séb.

Autre point, dans ta regexp tu places tes entités HTML dans un classe de caractères

En fait non, c'est le forum qui fait ça automatiquement avec certains caractères "trop exotiques".
10/09/2020, 00h21
helkøwsky
Merci pour vos réponses.

@séb: Dans la mesure ou j'utilise le modèle MVC, je me vois mal faire cette échappement ailleurs que sur mon fichier de rootage (peu-être je me trompe).

Concernant le "FILTER_FLAG_NO_ENCODE_QUOTES", j'ai essayé rien n'y fait.

@CosmoKnacki: Merci pour ta regex qui je te l'avoue me demandera de relire quelque tuto pour la comprendre pleinement. Cependant en la copiant collant juste afin de voir si cela resout mon problème avant de potasser malheureusement chou blanc là encore.

nb: je vais changer le nom de la fonction comme susmentionné, mais attendant voici ce que j'ai:
Code:

1 2 3 4 5 6 7 8 function name_validation_regex($text){ echo $text; if(preg_match("~\A [\p{Latin} ,.']+ \z~ux", $text)){ return TRUE; }else{ return FALSE; } }
ou le echo me retourne ceci (copié collé du browser): j'aa

Je ne suis pas sûr de comprendre ce qui empêche la regex d'accepter ce texte, cependant si j'enlève complètement le sanitize la regex fonctionne correctement.
10/09/2020, 01h23
CosmoKnacki

Ne regarde pas la page où les entités sont interprétées, regarde le code de la page : clique droit: afficher le code source de la page (ou un truc du genre), là tu verras s'il y a une entité html ou pas.

Si tu remplaces: echo $texte; par echo implode(',', array_map(function($i){return dechex(ord($i));},str_split($texte))); qu'est ce que ça donne?
15/09/2020, 00h48
CosmoKnacki

Citation:

Envoyé par helkøwsky

Concernant le "FILTER_FLAG_NO_ENCODE_QUOTES", j'ai essayé rien n'y fait.

Mea culpa, avec la fonction filter_input_array les flags se passent de cette manière.