Sécuriser un champ textaera (TinyMCE)

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par amazigh25, 10 Août 2008.

  1. amazigh25
    amazigh25 WRInaute impliqué
    Inscrit:
    4 Juin 2005
    Messages:
    869
    J'aime reçus:
    0
    Bonjour,
    J'ai besoin pour un projet que le visiteur puisse saisir un texte à l'aide d'un éditeur visuel (j'ai choisi TinyMCE) et je voudrais m'assurer avec de stocker les données produites qu'aucun Javascript ni code PHP n'a été introduit. Dans le cas contraire, le code doit être désactivé voire supprimé.
    Sachant que j'utilise CodeIgniter comme Framework et celui ci contient un filtre XSS : http://codeigniter.com/user_guide/libraries/input.html , que j'ai activé par defaut.

    Qu'est ce que vous me conseillez en matière de sécurisation ?

    Adam [/code]
     
  2. passion
    passion WRInaute accro
    Inscrit:
    6 Janvier 2006
    Messages:
    3 924
    J'aime reçus:
    191
    bah... je ne comprends pas??
    TinyMCE agit sur le client pas sur le serveur donc les données de ton textarea, c'est à toi de les traiter avant insert sur ta base, non??
    Donc le genre:
    Code:
    $textarea= mysql_real_escape_string(htmlspecialchars($_POST['textarea']));
    devrait suffire, non??
     
  3. amazigh25
    amazigh25 WRInaute impliqué
    Inscrit:
    4 Juin 2005
    Messages:
    869
    J'aime reçus:
    0
    Je sais que le traitement doit se faire au niveau du serveur ! :)
    Juste que je pense pas que cette méthode est suffisante vu que lorsque j'afficherai le contenu de champ plutard rien ne me garanti qu'il ne contient pas un ptit javascript !

    Je présume qu'il va falloir que j'utilise des regex pour traquer des balises que javascript, ou alert ... , qu'en pensez vous ?

    Adam
     
  4. seebz
    seebz WRInaute impliqué
    Inscrit:
    15 Avril 2007
    Messages:
    722
    J'aime reçus:
    0
    méthode bourin mais qui devrait résoudre ton problème :

    $texte = str_replace('<script', '&lt;script', $texte);
    $texte = str_replace('</script', '&lt;/script', $texte);
    $texte = str_replace('<?', '&lt;?', $texte);
    $texte = str_replace('?>', '>&gt;', $texte);
     
  5. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    Amazigh, si tu parviens à une solution potable, n'hésite pas à la partager ici :)
     
  6. amazigh25
    amazigh25 WRInaute impliqué
    Inscrit:
    4 Juin 2005
    Messages:
    869
    J'aime reçus:
    0
    Je vais me baser sur la proposition de seebz pour créer une fonction que tout le monde pourrait utiliser.

    Je la posterai quand ça sera réalisé ! Promis :)

    Adam
     
  7. amazigh25
    amazigh25 WRInaute impliqué
    Inscrit:
    4 Juin 2005
    Messages:
    869
    J'aime reçus:
    0
    Bonsoir !
    Je viens de me pencher sur la fonction XSS_Clean proposée par Codeigniter. C'est vraiment hallucinant !
    J'ai jamais vu une fonction aussi parfaite ! Elle ne laisse rien même les applets JAVA !
    C'est un peu la même chose que seebz avait proposer !

    Je vous invite à utiliser cette fonction disponible dans system/libraries/input.php !
    Je pense qu'elle pourra être facilement utilisée hors le cadre du framework!

    Adam
     
Chargement...
Similar Threads - Sécuriser textaera (TinyMCE) Forum Date
sécuriser upload fichier csv.gz Développement d'un site Web ou d'une appli mobile 9 Mars 2022
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015
sécuriser les injections SQL Développement d'un site Web ou d'une appli mobile 20 Novembre 2014
Quel outil pour sécuriser un site ? vérification périodique des fichiers Administration d'un site Web 21 Octobre 2011
Comment sécuriser le lien de mon produit numérique ? e-commerce 18 Août 2011
Sécuriser le fichier error_log par htaccess URL Rewriting et .htaccess 2 Avril 2010
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
Sécuriser l'index du site du duplicate à cause des index multiples Débuter en référencement 18 Février 2010
Sécuriser un Cookie d'authentification Développement d'un site Web ou d'une appli mobile 7 Février 2010
sécuriser un service web ? Développement d'un site Web ou d'une appli mobile 29 Juin 2009
Sécuriser un blog Wordpress en 7 étapes Développement d'un site Web ou d'une appli mobile 28 Mai 2009
Sécuriser un script php de téléchargement de fichiers Développement d'un site Web ou d'une appli mobile 13 Mars 2009
Sécuriser son site Internet Développement d'un site Web ou d'une appli mobile 26 Septembre 2008
securiser un formulaire avec mot a retaper Développement d'un site Web ou d'une appli mobile 29 Juillet 2008
Sécuriser WordPress et IPB Administration d'un site Web 17 Avril 2008
Connexion PDO : comment sécuriser les champs de formulaire? Développement d'un site Web ou d'une appli mobile 16 Avril 2008
Sécuriser et protéger son site web Administration d'un site Web 2 Octobre 2007
Securiser mon formulaire mail ? avec les p'tites lettres :) Développement d'un site Web ou d'une appli mobile 24 Juin 2007
Hack, massmailing, ralentissement : comment sécuriser? Administration d'un site Web 12 Mars 2007
[article] Sécuriser son serveur LAMP Administration d'un site Web 18 Août 2006