PHPfrance

la communauté d'entraide francophone dédiée au PHP

éditeur wysiwyg et sécurité

6 messages   •   Page 1 sur 1
   Outils de sujet
BeRoots
Mammouth du PHP | 843 Messages

03 oct. 2006, 16:19

salut à tout :)

j'aimerai sécuriser un peu les entrées de mon éditeur wysiwyg :-k

j'utilise déja htmlspecialchars() pour convertir les caractères html en entitées html. Ma regex bloque aussi toute les commandes SQL de base...

que penser vous qu'il manque à cette méthode?

merci d'avance pour vos conseils ;)
:: contactez moi par MP ::
:non: NON au language SMS sur les forums :non:
Invité
Invité n'ayant pas de compte PHPfrance

04 oct. 2006, 17:37

en fait, c'était plutot str_replace() que je devais utiliser.
j'ai enfin reglé le problème d'integration de mon wysiwyg dans mon filtre d'entrée

je me pose une question au niveau de mes db sur ce filtre :-k

à part les commandes mysql_..., quelle autres type de commandes peuvent atteindre mes db ?
Mammouth du PHP | 19672 Messages

04 oct. 2006, 19:06

ça dépend des modules que tu as installé et pour quelle base de données. Si tu utilises PHP5, il y aurait au moins les fonctions pour SQLite (si tu l'as activé) donc les fonctions commençant pas "sqlite_" :-k
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse :axe:
Mammouth du PHP | 843 Messages

05 oct. 2006, 09:06

je voit quand même pas mal de chose à faire pour mon filtre...

j'ai regarder du coté de SQLite mais il n'est pas activé aparament :-k

est ce que je peut m'estimer protègé en ne filtrant que ceci :
* mysqli_
* mysql_
* $_GET
* $_POST
* $_COOKIE
* $_REQUEST
* $_SESSION
* $_SERVER
* $_ENV
* SELECT UPDATE INSERT DELETE DROP...
* <script
est ce que quelqu'un voit quelque chose d'important à rajouter à ce filtre?
peut être des fonctions comme _ftp?
:: contactez moi par MP ::
:non: NON au language SMS sur les forums :non:
Administrateur PHPfrance
Administrateur PHPfrance | 3131 Messages

05 oct. 2006, 11:10

Tu comptes sécuriser un code PHP en entrée en interdisant certaines fonction via un remplacement de chaines ?
Question : comment sécuriseras-tu ce code ?
$foo = "m" . "ys" . "ql_co" . "nnect";
$foo("localhost", "root", "");
...
Je ne comprends pas bien la démarche en fait
Mammouth du PHP | 843 Messages

05 oct. 2006, 15:16

en fait str_replace() m'a servi pour intervenir sur le code généré du wysiwyg
pour par exemple remplacer < et > par < et &rt;

pour le filtre, c'est une regex que j'applique sur le code récuperer depuis l'entrer de formulaire du wysiwyg. en faite c'est pour lutter contre les injection de code depuis le wysiwyg ;)

la liste de mon precedent message contient toutes les expression à détecter via la regex ;)

je souhaite empecher que du code ne soit entrer via le wysiwyg
penser vous que j'ai oublier des choses critiques dans cette liste?
:: contactez moi par MP ::
:non: NON au language SMS sur les forums :non:
   Répondre
6 messages   •   Page 1 sur 1
   Outils de sujet