Sécuriser un champ textaera (TinyMCE)
7 messages • Page 1 sur 1
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Sécuriser un champ textaera (TinyMCE)
le Dim Aoû 10, 2008 7:07
Bonjour,
J'ai besoin pour un projet que le visiteur puisse saisir un texte à l'aide d'un éditeur visuel (j'ai choisi TinyMCE) et je voudrais m'assurer avec de stocker les données produites qu'aucun Javascript ni code PHP n'a été introduit. Dans le cas contraire, le code doit être désactivé voire supprimé.
Sachant que j'utilise CodeIgniter comme Framework et celui ci contient un filtre XSS : http://codeigniter.com/user_guide/libraries/input.html , que j'ai activé par defaut.
Qu'est ce que vous me conseillez en matière de sécurisation ?
Adam [/code]
J'ai besoin pour un projet que le visiteur puisse saisir un texte à l'aide d'un éditeur visuel (j'ai choisi TinyMCE) et je voudrais m'assurer avec de stocker les données produites qu'aucun Javascript ni code PHP n'a été introduit. Dans le cas contraire, le code doit être désactivé voire supprimé.
Sachant que j'utilise CodeIgniter comme Framework et celui ci contient un filtre XSS : http://codeigniter.com/user_guide/libraries/input.html , que j'ai activé par defaut.
Qu'est ce que vous me conseillez en matière de sécurisation ?
Adam [/code]
le Dim Aoû 10, 2008 9:28
bah... je ne comprends pas??
TinyMCE agit sur le client pas sur le serveur donc les données de ton textarea, c'est à toi de les traiter avant insert sur ta base, non??
Donc le genre:
devrait suffire, non??
TinyMCE agit sur le client pas sur le serveur donc les données de ton textarea, c'est à toi de les traiter avant insert sur ta base, non??
Donc le genre:
- Code: Tout sélectionner
$textarea= mysql_real_escape_string(htmlspecialchars($_POST['textarea']));
devrait suffire, non??
le Dim Aoû 10, 2008 15:49
Je sais que le traitement doit se faire au niveau du serveur ! 
Juste que je pense pas que cette méthode est suffisante vu que lorsque j'afficherai le contenu de champ plutard rien ne me garanti qu'il ne contient pas un ptit javascript !
Je présume qu'il va falloir que j'utilise des regex pour traquer des balises que javascript, ou alert ... , qu'en pensez vous ?
Adam
Juste que je pense pas que cette méthode est suffisante vu que lorsque j'afficherai le contenu de champ plutard rien ne me garanti qu'il ne contient pas un ptit javascript !
Je présume qu'il va falloir que j'utilise des regex pour traquer des balises que javascript, ou alert ... , qu'en pensez vous ?
Adam
le Dim Aoû 10, 2008 17:50
méthode bourin mais qui devrait résoudre ton problème :
$texte = str_replace('<script', '<script', $texte);
$texte = str_replace('</script', '</script', $texte);
$texte = str_replace('<?', '<?', $texte);
$texte = str_replace('?>', '>>', $texte);
$texte = str_replace('<script', '<script', $texte);
$texte = str_replace('</script', '</script', $texte);
$texte = str_replace('<?', '<?', $texte);
$texte = str_replace('?>', '>>', $texte);
-
nickargall - WRInaute accro
- Messages: 5313
- Inscription: Lun Juin 13, 2005 14:13
le Lun Aoû 11, 2008 9:56
Amazigh, si tu parviens à une solution potable, n'hésite pas à la partager ici
le Mer Aoû 13, 2008 17:34
Bonsoir !
Je viens de me pencher sur la fonction XSS_Clean proposée par Codeigniter. C'est vraiment hallucinant !
J'ai jamais vu une fonction aussi parfaite ! Elle ne laisse rien même les applets JAVA !
C'est un peu la même chose que seebz avait proposer !
Je vous invite à utiliser cette fonction disponible dans system/libraries/input.php !
Je pense qu'elle pourra être facilement utilisée hors le cadre du framework!
Adam
Je viens de me pencher sur la fonction XSS_Clean proposée par Codeigniter. C'est vraiment hallucinant !
J'ai jamais vu une fonction aussi parfaite ! Elle ne laisse rien même les applets JAVA !
C'est un peu la même chose que seebz avait proposer !
Je vous invite à utiliser cette fonction disponible dans system/libraries/input.php !
Je pense qu'elle pourra être facilement utilisée hors le cadre du framework!
Adam
7 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- prob avec <textaera> dans l'envoie du mail
- tinymce
- TinyMCE, instances multiples
- Installation TinyMCE sous SPIP 1.9.2
- Plugin Upload video TinyMCE
- Existe-il mieux que le TinyMCE en WYSIWYG ?
- Problème TinyMCE et div qui disparaît
- Enregistrement page avec wysiwyg TinyMCE
- [TinyMCE] Un éditeur HTML on-line avec apercu
- Comment mettre une image en Background avec tinymce
- TINYMCE : enregistre pas quand j'utilise ma feuille de style
- Bug Tinymce IE6 - une div disparait lors du chargement
Consultez la description détaillée des produits ou services de Google suivants : Google Secure Access
Qui est en ligne
Utilisateurs parcourant ce forum: phil68 et 2 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité