Sécuriser et parser un message pour un forum
Contenu du snippet
Pour un forum, il est nécessaire d'interdire l'utilisation de code PHP, Javascript, et de limiter les balises HTML autorisées. Il faut aussi gèrer les mots trés longs (une URL, par exemple) pour éviter qu'ils déforment la mise en page du site.
Et pour la convivialité, il faut parser (ou interpreter) les URL ou adresses e-mail pour les rendre automatiquement cliquables. Enfin, - la cerise sur le gateau -, remplacer les caractères des smileys par des images.
Dans le source ci-dessous, on part du principe que le message saisi par l'utilisateur provient d'un champ TEXTAREA qui renvoie sa valeur dans la variable '$texte'. Il suffit de sauvegarder le contenu de cette variable à la fin du traitement pour avoir la version sécurisée.
La méthode utilisée ici pour sécuriser consiste à utiliser l'instruction 'htmlentities' aprés avoir parser - temporairement - les balises HTML que l'on veut autoriser avec des '-%' ou '%-' ; elles seront re-parser juste à la fin avec des '<' ou '>' pour les réactiver. Ici, on autorise les balises <B>, <I>, <U>, et <BR>.
Puis, le traitement se fait mot-à-mot pour :
- mettre des séparations (qui seront effectives si jugées nécessaire par le navigateur) en cas de mots trés long,
- créer des liens avec les URL (commençant par http ou www),
- identifier les smileys avec prise en charge de ceux qui rigolent (ou pleurent) trop fort !!! ;op
Pour cette exemple, les smileys ne sont pas remplacés par des images, mais simplement mis en gras avec une étiquette affichant la pensée associée au smiley... Il sera pas difficile pour vous de le modifier pour l'emploie d'images.
NB: les curieux remarqueront qu'il est facile d'adapter ce source pour qu'il gère le BBCode à la place des balises HTML autorisées ;o)
Merci de me le signaler si vous voyez une faille de sécurité dans ce système.
Et pour la convivialité, il faut parser (ou interpreter) les URL ou adresses e-mail pour les rendre automatiquement cliquables. Enfin, - la cerise sur le gateau -, remplacer les caractères des smileys par des images.
Dans le source ci-dessous, on part du principe que le message saisi par l'utilisateur provient d'un champ TEXTAREA qui renvoie sa valeur dans la variable '$texte'. Il suffit de sauvegarder le contenu de cette variable à la fin du traitement pour avoir la version sécurisée.
La méthode utilisée ici pour sécuriser consiste à utiliser l'instruction 'htmlentities' aprés avoir parser - temporairement - les balises HTML que l'on veut autoriser avec des '-%' ou '%-' ; elles seront re-parser juste à la fin avec des '<' ou '>' pour les réactiver. Ici, on autorise les balises <B>, <I>, <U>, et <BR>.
Puis, le traitement se fait mot-à-mot pour :
- mettre des séparations (qui seront effectives si jugées nécessaire par le navigateur) en cas de mots trés long,
- créer des liens avec les URL (commençant par http ou www),
- identifier les smileys avec prise en charge de ceux qui rigolent (ou pleurent) trop fort !!! ;op
Pour cette exemple, les smileys ne sont pas remplacés par des images, mais simplement mis en gras avec une étiquette affichant la pensée associée au smiley... Il sera pas difficile pour vous de le modifier pour l'emploie d'images.
NB: les curieux remarqueront qu'il est facile d'adapter ce source pour qu'il gère le BBCode à la place des balises HTML autorisées ;o)
Source / Exemple :
//Préformatage pour les étourdis :op
$texte = ucfirst($texte);
//Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
$texte = str_replace ("\r", "", $texte);
//Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
$texte = str_replace ("\n", " </B></U></I><BR> ", $texte);
//On garde une copie de l'original
$texteoriginal=$texte;
//Suppression des caractères interdits
$texte = str_replace ("-%","",$texte);
$texte = str_replace ("%-","",$texte);
//Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
$texte = str_replace (array ("<BR>","<br>"),"-%BR%-",$texte);
$texte = str_replace (array ("<B>","<b>"),"-%B%-",$texte);
$texte = str_replace (array ("</B>","</b>"),"-%/B%-",$texte);
$texte = str_replace (array ("<U>","<u>"),"-%U%-",$texte);
$texte = str_replace (array ("</U>","</u>"),"-%/U%-",$texte);
$texte = str_replace (array ("<I>","<i>"),"-%I%-",$texte);
$texte = str_replace (array ("</I>","</i>"),"-%/I%-",$texte);
//Decomposition du texte mot à mot
$mots = explode(" ",$texte);
//Boucle d'analyse de chaques mots
$nbmots = count($mots);
for ($i = 0; $i < $nbmots; $i++)
{
//Forcer les césures si un mot dépasse 50 caractères
$motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
//Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
$motproteger = htmlentities($motproteger,ENT_QUOTES);
//Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
if (strpos($mots[$i],"@") > 3)
{
$mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,7)) == "http://")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if (strtolower(substr($mots[$i],0,4)) == "www.")
{
$motproteger = strtolower($motproteger);
if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
$mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
}
else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Mort de rire\">:o))</B>";
}
else if ($mots[$i] == ":o)")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Content(e)\">:o)</B>";
}
else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil amusant\">;o))</B>";
}
else if ($mots[$i] == ";o)")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil\">;o)</B>";
}
else if ($mots[$i] == ":op")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue\">:op</B>";
}
else if ($mots[$i] == ";op")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue et cligne de l\'oeil\">;op</B>";
}
else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Pleure\">:o((</B>";
}
else if ($mots[$i] == ":o(")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Boude\">:o(</B>";
}
else if ($mots[$i] == ":o.")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Etonné\(e\)\">:o.</B>";
}
else if ($mots[$i] == ":o|")
{
$mots[$i] = "<B CLASS=Smileys TITLE=\"Sans voix\">:o|</B>";
}
else
{
//Pour un mot banal, on utilise la version protégée sans balises HTML actives
$mots[$i] = $motproteger;
}
}
//Recolle les mots du texte
$texte = implode(" ",$mots);
//On restaure la syntaxe des balises autorisées
$texte = str_replace ("-%","<",$texte);
$texte = str_replace ("%-",">",$texte);
//On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
//Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
$texte = addslashes($texte);
Conclusion :
Merci de me le signaler si vous voyez une faille de sécurité dans ce système.
A voir également
- Sécuriser et parser un message pour un forum
- Message delphi - Conseils pratiques -Delphi
- Gambas forum - Forum Visual Basic
- /Forum/redirector.php?url= - Forum PHP
- "/Forum/ref.php?url=" - Forum PHP
- Message en morse - Forum C
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.