Sécuriser et parser un message pour un forum

Soyez le premier à donner votre avis sur cette source.

Snippet vu 6 184 fois - Téléchargée 24 fois

Contenu du snippet

Pour un forum, il est nécessaire d'interdire l'utilisation de code PHP, Javascript, et de limiter les balises HTML autorisées. Il faut aussi gèrer les mots trés longs (une URL, par exemple) pour éviter qu'ils déforment la mise en page du site.

Et pour la convivialité, il faut parser (ou interpreter) les URL ou adresses e-mail pour les rendre automatiquement cliquables. Enfin, - la cerise sur le gateau -, remplacer les caractères des smileys par des images.

Dans le source ci-dessous, on part du principe que le message saisi par l'utilisateur provient d'un champ TEXTAREA qui renvoie sa valeur dans la variable '$texte'. Il suffit de sauvegarder le contenu de cette variable à la fin du traitement pour avoir la version sécurisée.

La méthode utilisée ici pour sécuriser consiste à utiliser l'instruction 'htmlentities' aprés avoir parser - temporairement - les balises HTML que l'on veut autoriser avec des '-%' ou '%-' ; elles seront re-parser juste à la fin avec des '<' ou '>' pour les réactiver. Ici, on autorise les balises <B>, <I>, <U>, et <BR>.

Puis, le traitement se fait mot-à-mot pour :
- mettre des séparations (qui seront effectives si jugées nécessaire par le navigateur) en cas de mots trés long,
- créer des liens avec les URL (commençant par http ou www),
- identifier les smileys avec prise en charge de ceux qui rigolent (ou pleurent) trop fort !!! ;op

Pour cette exemple, les smileys ne sont pas remplacés par des images, mais simplement mis en gras avec une étiquette affichant la pensée associée au smiley... Il sera pas difficile pour vous de le modifier pour l'emploie d'images.

NB: les curieux remarqueront qu'il est facile d'adapter ce source pour qu'il gère le BBCode à la place des balises HTML autorisées ;o)

Source / Exemple :


//Préformatage pour les étourdis :op
		$texte = ucfirst($texte);
		
		//Le retour chariot \r (de Windows) est implicite quand il y a un saut de ligne \n ... On les supprime !!!
		$texte = str_replace ("\r", "", $texte);
		
		//Si il y a un saut de ligne, on ferme toutes les balises (autorisées) de mise en forme.
		$texte = str_replace ("\n", " </B></U></I><BR> ", $texte);
		
		//On garde une copie de l'original
		$texteoriginal=$texte;
		
		//Suppression des caractères interdits 
		$texte = str_replace ("-%","",$texte);
		$texte = str_replace ("%-","",$texte);
		
		//Reformatage (temporaire) de la syntaxe des balises autorisées en remplacant < par -% et > par %-
		$texte = str_replace (array ("<BR>","<br>"),"-%BR%-",$texte);
		$texte = str_replace (array ("<B>","<b>"),"-%B%-",$texte);
		$texte = str_replace (array ("</B>","</b>"),"-%/B%-",$texte);
		$texte = str_replace (array ("<U>","<u>"),"-%U%-",$texte);
		$texte = str_replace (array ("</U>","</u>"),"-%/U%-",$texte);
		$texte = str_replace (array ("<I>","<i>"),"-%I%-",$texte);
		$texte = str_replace (array ("</I>","</i>"),"-%/I%-",$texte);
		
		//Decomposition du texte mot à mot
		$mots = explode(" ",$texte);
		
		//Boucle d'analyse de chaques mots
		$nbmots = count($mots);
		for ($i = 0; $i < $nbmots; $i++)
			{
			//Forcer les césures si un mot dépasse 50 caractères
			$motproteger = wordwrap( $mots[$i], 50,"-%WBR%-",1);
			
			//Désactive les balises HTML interdites (et autres codages Javascript, PHP, etc)
			$motproteger = htmlentities($motproteger,ENT_QUOTES);
			
			//Recherche de ce qui ressemble à un mail, une URL, ou un smileys pour transformer en lien ou image.
			if (strpos($mots[$i],"@") > 3)
				{
				$mots[$i] = "<A HREF='mailto:$mots[$i]'>$motproteger</A>";
				}
			else if (strtolower(substr($mots[$i],0,7)) == "http://")
				{
				$motproteger = strtolower($motproteger);
				if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
				$mots[$i] = "<A HREF='$mots[$i]' TARGET=_blank>$motproteger</A>";
				}
			else if (strtolower(substr($mots[$i],0,4)) == "www.")
				{
				$motproteger = strtolower($motproteger);
				if (strpos($motproteger,"?",0) > 0) $motproteger = substr($motproteger,0,strpos($motproteger,"?",0));
				$mots[$i] = "<A HREF='http://$mots[$i]' TARGET=_blank>$motproteger</A>";
				}
			else if ((substr($mots[$i],0,4) == ":o))") AND (substr($mots[$i],-1) == ")"))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Mort de rire\">:o))</B>";
				}
			else if ($mots[$i] == ":o)")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Content(e)\">:o)</B>";
				}
			else if ((substr($mots[$i],0,4) == ";o))") AND (substr($mots[$i],-1) == ")"))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil amusant\">;o))</B>";
				}
			else if ($mots[$i] == ";o)")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Clin d\'oeil\">;o)</B>";
				}
			else if ($mots[$i] == ":op")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue\">:op</B>";
				}
			else if ($mots[$i] == ";op")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Tire la langue et cligne de l\'oeil\">;op</B>";
				}
			else if ((substr($mots[$i],0,4) == ":o((") AND (substr($mots[$i],-1) == "("))
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Pleure\">:o((</B>";
				}
			else if ($mots[$i] == ":o(")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Boude\">:o(</B>";
				}
			else if ($mots[$i] == ":o.")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Etonné\(e\)\">:o.</B>";
				}
			else if ($mots[$i] == ":o|")
				{
				$mots[$i] = "<B CLASS=Smileys TITLE=\"Sans voix\">:o|</B>";
				}
			else
				{
				//Pour un mot banal, on utilise la version protégée sans balises HTML actives
				$mots[$i] = $motproteger;
				}
			}
			
		//Recolle les mots du texte
		$texte = implode(" ",$mots);
		
		//On restaure la syntaxe des balises autorisées
		$texte = str_replace ("-%","<",$texte);
		$texte = str_replace ("%-",">",$texte);
		
		//On ajoute des anti-slash pour sauvegarder dans un champ TEXT d'une table SQL
		//Ne pas oublier de faire un 'stripslashes' lors de la lecture du message depuis la table SQL
		$texte = addslashes($texte);

Conclusion :


Merci de me le signaler si vous voyez une faille de sécurité dans ce système.

A voir également

Ajouter un commentaire Commentaires
Messages postés
41
Date d'inscription
lundi 10 février 2003
Statut
Membre
Dernière intervention
9 juin 2005

En tout cas, merci beaucoup !
Y a un truc que je recherchais depuis des décenies et là ! Pafff ! Mon problème est résolu !
Merci encore
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008

pour supergrey:

tas ce genre deffet qd tu appliques 2 fois la cmd htmlentities sur le meme texte... Comme mon source le fait deja, tu nas po besoin de le faire (avant et/ou apres) :o|

Sinon, à la ligne cidessous:
$motproteger = htmlentities($motproteger,ENT_QUOTES);
Par:
$motproteger =striptags($motproteger);

Mais avec pour inconvenient que les codes HTML seront purement et simplement effacés au lieu d'etre désactivés :op
Messages postés
475
Date d'inscription
vendredi 27 juin 2003
Statut
Membre
Dernière intervention
20 septembre 2010

J'ai introduit ton code sur mon site et je crois qu'il y a un problème avec les accens on dirai que l'accens est bien transformé en à par exemple mais que le & est aussi codé donc ca devient & agrave; donc finalement ca affiche à
Messages postés
12
Date d'inscription
mercredi 8 octobre 2003
Statut
Membre
Dernière intervention
19 septembre 2005

Que de bonnes sources...
Merci encore !
8/10 ;)
Messages postés
26
Date d'inscription
lundi 12 avril 2004
Statut
Membre
Dernière intervention
20 août 2007

Ca s'apprend c'est comme tout, je pense qu'avec les regx tu aurais pu faire ce code de manière plus simple est extrayant des morceux de texte au lieu des mots. Autrement c'est pas mal fait, mais pour te permettre de l'améliorer je vais te dire ce que tu peux changer:
_ $texte par $_POST['texte']
_ en faire une fonction
=> après je ne sais pas, je n'ai pas tout lu à la loupe.
++
Afficher les 8 commentaires

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.