PHWinfo - Afficher un message

19/02/2008, 22h37

Bonsoir.

"jerome balti" <baltibloke@hotmail.com> a écrit dans le message de news:
mn.9b707d82fcc9099e.42336@hotmail.com...
> merci
>
> > Et pour le reste, le plus
> > simple est je crois une liste blanche de balises
> > autorisées...
>
>
> tiens pour la liste blanche...
> je remarque que les modules de blogs, etc... utilisent
> souvent des systèmes du genre :
>
> l'utilisateur tape des balises similaire à HTML dans
> son texte
>
> ex pour <b></b> ... etc
>

Oui, c'est ce que je suggérais, et ça vous donne le contrôle total des tags
qui peuvent être insérés.

Il ne vous reste plus qu'à commencer par échapper les quotes simples et
doubles sous toutes les formes possibles afin d'être sûr que votre PHP ne se
fasse pas avoir par une injection de code, et dans le pire des cas, ce qu'il
ne traduira pas apparaîtra comme du texte natif.

Vous rajoutez alors un preview et une option de correction, et vous
conciliez ainsi souplesse et sécurité (à la sémantique du contenu près,
c'est un autre problème).

Ah oui, pensez aussi à limiter la quantité de texte, pour éviter la
saturation, et dans ce cas il est sympa de rajouter un compteur de nombre de
caractères restants.
Prévoyez aussi une convention pour les passages à la ligne et sauts de
paragraphe (c'est différent), si vous convertissez en HTML ils seront
perdus, comme sur beaucoup de sites moches qui ne gardent qu'un dégluti
infâme.

--
Cordialement.
--
* Patrick BRUNET www.ipzb.fr
* E-mail: lien sur http://zener131.free.fr/ContactMe

19/02/2008, 22h37	#2
Patrick 'Zener' Brunet Messages: n/a Hébergeur:	Re: entrer du texte , risques , etc Bonsoir. "jerome balti" <baltibloke@hotmail.com> a écrit dans le message de news: mn.9b707d82fcc9099e.42336@hotmail.com... > merci > > > Et pour le reste, le plus > > simple est je crois une liste blanche de balises > > autorisées... > > > tiens pour la liste blanche... > je remarque que les modules de blogs, etc... utilisent > souvent des systèmes du genre : > > l'utilisateur tape des balises similaire à HTML dans > son texte > > ex pour <b></b> ... etc > Oui, c'est ce que je suggérais, et ça vous donne le contrôle total des tags qui peuvent être insérés. Il ne vous reste plus qu'à commencer par échapper les quotes simples et doubles sous toutes les formes possibles afin d'être sûr que votre PHP ne se fasse pas avoir par une injection de code, et dans le pire des cas, ce qu'il ne traduira pas apparaîtra comme du texte natif. Vous rajoutez alors un preview et une option de correction, et vous conciliez ainsi souplesse et sécurité (à la sémantique du contenu près, c'est un autre problème). Ah oui, pensez aussi à limiter la quantité de texte, pour éviter la saturation, et dans ce cas il est sympa de rajouter un compteur de nombre de caractères restants. Prévoyez aussi une convention pour les passages à la ligne et sauts de paragraphe (c'est différent), si vous convertissez en HTML ils seront perdus, comme sur beaucoup de sites moches qui ne gardent qu'un dégluti infâme. -- Cordialement. -- * Patrick BRUNET www.ipzb.fr * E-mail: lien sur http://zener131.free.fr/ContactMe