Sécuriser un champ textaera (TinyMCE)
7 messages
• Page 1 sur 1
- amazigh25
- WRInaute passionné
- Messages: 1006
- Inscription: 4 Juin 2005
Sécuriser un champ textaera (TinyMCE)
le Dim Aoû 10, 2008 7:07
Bonjour,
J'ai besoin pour un projet que le visiteur puisse saisir un texte à l'aide d'un éditeur visuel (j'ai choisi TinyMCE) et je voudrais m'assurer avec de stocker les données produites qu'aucun Javascript ni code PHP n'a été introduit. Dans le cas contraire, le code doit être désactivé voire supprimé.
Sachant que j'utilise CodeIgniter comme Framework et celui ci contient un filtre XSS : http://codeigniter.com/user_guide/libraries/input.html , que j'ai activé par defaut.
Qu'est ce que vous me conseillez en matière de sécurisation ?
Adam [/code]
J'ai besoin pour un projet que le visiteur puisse saisir un texte à l'aide d'un éditeur visuel (j'ai choisi TinyMCE) et je voudrais m'assurer avec de stocker les données produites qu'aucun Javascript ni code PHP n'a été introduit. Dans le cas contraire, le code doit être désactivé voire supprimé.
Sachant que j'utilise CodeIgniter comme Framework et celui ci contient un filtre XSS : http://codeigniter.com/user_guide/libraries/input.html , que j'ai activé par defaut.
Qu'est ce que vous me conseillez en matière de sécurisation ?
Adam [/code]
- passion
- WRInaute accro
- Messages: 3125
- Inscription: 6 Jan 2006
le Dim Aoû 10, 2008 9:28
bah... je ne comprends pas??
TinyMCE agit sur le client pas sur le serveur donc les données de ton textarea, c'est à toi de les traiter avant insert sur ta base, non??
Donc le genre:
devrait suffire, non??
TinyMCE agit sur le client pas sur le serveur donc les données de ton textarea, c'est à toi de les traiter avant insert sur ta base, non??
Donc le genre:
- Code: Tout sélectionner
$textarea= mysql_real_escape_string(htmlspecialchars($_POST['textarea']));
devrait suffire, non??
- amazigh25
- WRInaute passionné
- Messages: 1006
- Inscription: 4 Juin 2005
le Dim Aoû 10, 2008 15:49
Je sais que le traitement doit se faire au niveau du serveur ! 
Juste que je pense pas que cette méthode est suffisante vu que lorsque j'afficherai le contenu de champ plutard rien ne me garanti qu'il ne contient pas un ptit javascript !
Je présume qu'il va falloir que j'utilise des regex pour traquer des balises que javascript, ou alert ... , qu'en pensez vous ?
Adam
Juste que je pense pas que cette méthode est suffisante vu que lorsque j'afficherai le contenu de champ plutard rien ne me garanti qu'il ne contient pas un ptit javascript !
Je présume qu'il va falloir que j'utilise des regex pour traquer des balises que javascript, ou alert ... , qu'en pensez vous ?
Adam
-
seebz - WRInaute impliqué
- Messages: 808
- Inscription: 15 Avr 2007
le Dim Aoû 10, 2008 17:50
méthode bourin mais qui devrait résoudre ton problème :
$texte = str_replace('<script', '<script', $texte);
$texte = str_replace('</script', '</script', $texte);
$texte = str_replace('<?', '<?', $texte);
$texte = str_replace('?>', '>>', $texte);
$texte = str_replace('<script', '<script', $texte);
$texte = str_replace('</script', '</script', $texte);
$texte = str_replace('<?', '<?', $texte);
$texte = str_replace('?>', '>>', $texte);
-
nickargall - WRInaute accro
- Messages: 6468
- Inscription: 13 Juin 2005
le Lun Aoû 11, 2008 9:56
Amazigh, si tu parviens à une solution potable, n'hésite pas à la partager ici
- amazigh25
- WRInaute passionné
- Messages: 1006
- Inscription: 4 Juin 2005
le Mer Aoû 13, 2008 17:34
Bonsoir !
Je viens de me pencher sur la fonction XSS_Clean proposée par Codeigniter. C'est vraiment hallucinant !
J'ai jamais vu une fonction aussi parfaite ! Elle ne laisse rien même les applets JAVA !
C'est un peu la même chose que seebz avait proposer !
Je vous invite à utiliser cette fonction disponible dans system/libraries/input.php !
Je pense qu'elle pourra être facilement utilisée hors le cadre du framework!
Adam
Je viens de me pencher sur la fonction XSS_Clean proposée par Codeigniter. C'est vraiment hallucinant !
J'ai jamais vu une fonction aussi parfaite ! Elle ne laisse rien même les applets JAVA !
C'est un peu la même chose que seebz avait proposer !
Je vous invite à utiliser cette fonction disponible dans system/libraries/input.php !
Je pense qu'elle pourra être facilement utilisée hors le cadre du framework!
Adam
7 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- prob avec <textaera> dans l'envoie du mail
- tinymce
- tinymce et textarea
- TinyMCE, instances multiples
- problème d'affichage avec TinyMCE
- Installation TinyMCE sous SPIP 1.9.2
- Plugin Upload video TinyMCE
- Existe-il mieux que le TinyMCE en WYSIWYG ?
- Ajouter balise perso pour tinymce
- TinyMCE et MCImagemanager: forcer le dossier d'upload
Consultez la description détaillée des produits ou services de Google suivants : Google Secure Access
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité