Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

éditeur wysiwyg et sécurité

https://forum.phpfrance.com/viewtopic.php?f=24&t=22853

Page 1 sur 1

éditeur wysiwyg et sécurité

Posté : 03 oct. 2006, 16:19
par BeRoots
salut à tout :)

j'aimerai sécuriser un peu les entrées de mon éditeur wysiwyg :-k

j'utilise déja htmlspecialchars() pour convertir les caractères html en entitées html. Ma regex bloque aussi toute les commandes SQL de base...

que penser vous qu'il manque à cette méthode?

merci d'avance pour vos conseils ;)

Posté : 04 oct. 2006, 17:37
par Invité
en fait, c'était plutot str_replace() que je devais utiliser.
j'ai enfin reglé le problème d'integration de mon wysiwyg dans mon filtre d'entrée

je me pose une question au niveau de mes db sur ce filtre :-k

à part les commandes mysql_..., quelle autres type de commandes peuvent atteindre mes db ?

Posté : 04 oct. 2006, 19:06
par Cyrano
ça dépend des modules que tu as installé et pour quelle base de données. Si tu utilises PHP5, il y aurait au moins les fonctions pour SQLite (si tu l'as activé) donc les fonctions commençant pas "sqlite_" :-k

Posté : 05 oct. 2006, 09:06
par BeRoots
je voit quand même pas mal de chose à faire pour mon filtre...

j'ai regarder du coté de SQLite mais il n'est pas activé aparament :-k

est ce que je peut m'estimer protègé en ne filtrant que ceci :
* mysqli_
* mysql_
* $_GET
* $_POST
* $_COOKIE
* $_REQUEST
* $_SESSION
* $_SERVER
* $_ENV
* SELECT UPDATE INSERT DELETE DROP...
* <script
est ce que quelqu'un voit quelque chose d'important à rajouter à ce filtre?
peut être des fonctions comme _ftp?

Posté : 05 oct. 2006, 11:10
par naholyr
Tu comptes sécuriser un code PHP en entrée en interdisant certaines fonction via un remplacement de chaines ?
Question : comment sécuriseras-tu ce code ?
$foo = "m" . "ys" . "ql_co" . "nnect";
$foo("localhost", "root", "");
...
Je ne comprends pas bien la démarche en fait

Posté : 05 oct. 2006, 15:16
par BeRoots
en fait str_replace() m'a servi pour intervenir sur le code généré du wysiwyg
pour par exemple remplacer < et > par < et &rt;

pour le filtre, c'est une regex que j'applique sur le code récuperer depuis l'entrer de formulaire du wysiwyg. en faite c'est pour lutter contre les injection de code depuis le wysiwyg ;)

la liste de mon precedent message contient toutes les expression à détecter via la regex ;)

je souhaite empecher que du code ne soit entrer via le wysiwyg
penser vous que j'ai oublier des choses critiques dans cette liste?
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/