PHPfrance

la communauté d'entraide francophone dédiée au PHP

éditeur wysiwyg et sécurité

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : éditeur wysiwyg et sécurité

par BeRoots » 05 oct. 2006, 15:16

en fait str_replace() m'a servi pour intervenir sur le code généré du wysiwyg
pour par exemple remplacer < et > par < et &rt;

pour le filtre, c'est une regex que j'applique sur le code récuperer depuis l'entrer de formulaire du wysiwyg. en faite c'est pour lutter contre les injection de code depuis le wysiwyg ;)

la liste de mon precedent message contient toutes les expression à détecter via la regex ;)

je souhaite empecher que du code ne soit entrer via le wysiwyg
penser vous que j'ai oublier des choses critiques dans cette liste?

par naholyr » 05 oct. 2006, 11:10

Tu comptes sécuriser un code PHP en entrée en interdisant certaines fonction via un remplacement de chaines ?
Question : comment sécuriseras-tu ce code ?
$foo = "m" . "ys" . "ql_co" . "nnect";
$foo("localhost", "root", "");
...
Je ne comprends pas bien la démarche en fait

par BeRoots » 05 oct. 2006, 09:06

je voit quand même pas mal de chose à faire pour mon filtre...

j'ai regarder du coté de SQLite mais il n'est pas activé aparament :-k

est ce que je peut m'estimer protègé en ne filtrant que ceci :
* mysqli_
* mysql_
* $_GET
* $_POST
* $_COOKIE
* $_REQUEST
* $_SESSION
* $_SERVER
* $_ENV
* SELECT UPDATE INSERT DELETE DROP...
* <script
est ce que quelqu'un voit quelque chose d'important à rajouter à ce filtre?
peut être des fonctions comme _ftp?

par Cyrano » 04 oct. 2006, 19:06

ça dépend des modules que tu as installé et pour quelle base de données. Si tu utilises PHP5, il y aurait au moins les fonctions pour SQLite (si tu l'as activé) donc les fonctions commençant pas "sqlite_" :-k

par Invité » 04 oct. 2006, 17:37

en fait, c'était plutot str_replace() que je devais utiliser.
j'ai enfin reglé le problème d'integration de mon wysiwyg dans mon filtre d'entrée

je me pose une question au niveau de mes db sur ce filtre :-k

à part les commandes mysql_..., quelle autres type de commandes peuvent atteindre mes db ?

éditeur wysiwyg et sécurité

par BeRoots » 03 oct. 2006, 16:19

salut à tout :)

j'aimerai sécuriser un peu les entrées de mon éditeur wysiwyg :-k

j'utilise déja htmlspecialchars() pour convertir les caractères html en entitées html. Ma regex bloque aussi toute les commandes SQL de base...

que penser vous qu'il manque à cette méthode?

merci d'avance pour vos conseils ;)