html dans un post

pou

Salut j'aimerai savoir comment faire afficher du html comme une image
<img src="http://www.lephpfacile.com/pics/news/php.gif" alt=""/>

qui est ajouter dans une base de donenr grâce a un formulaire et qui est ensuite afficher dans une page html grace au php qui va chercher les info dans la base de donner

comme dans l'exemple du comment faire un script de news

merci

Bzh

Bin cela depen de ce que tu souhaites !

si ce sont des news que seul TOI tu peu les mettre y a pa de souci, tu peu mettre directement l'html dans la bdd. Tu perdras beaucoup de place mais tu gagneras en rapidite de traitements !

Mais parcontre c'est la porte ouverte au attaques XSS !

Donc si l'insertion des nouvelles est accessible a tout le monde, tu est oblige de passer par htmlentities() et donc d'utiliser un systeme de BB-CODE !

Voili, tchusss...

moogli

lu,

BB-CODE => non pas formcément.

Il est possible d'accepter des balises html, la fonction strip_tags est faite pour cela. elle quelques défaut (comme faire sauter tous ce qui peut être entre < > même si ce n'est pas una balise html).

Si non on peut simplement faire un traitement a grand coup regexep mais c'est quelque peu gourmand.

Y a aussi la syntaxe wiki, mais cela est un peu le même combat que le bbcode!

@+

Bzh

Heu ! moogli, l'utilisation de strip_tags() ne protege en rien des attaques XSS !!!!

http://www.manuelphp.com/php/function.strip-tags.php

"strip_tags ne modifie pas les attributs des balises que vous autorisez via le paramètre allowable_tags , y compris les attributs style et onmouseover , que des utilisateurs mal intentionnés peuvent utiliser." !

La porte ouverte aux attaques XSS (onmouse,onlcick etc...)

bibi

faut arreter de connaitre que "XSS" serieux... Faut pas se chier dessus des qu'on te parle de tag html.

Tu as le 2eme parametre qui te permet de garder juste une partie des tags.

Déja, ca t'enleve une bonne partie des tags inutiles. Ensuite tu balances une regex pour dégager les liens avec des onmouseover etc... et c'est torché.

Bzh

alors qu'un simple BB-code permet d'etre sur a 100% !!!!

BB-code,plus, lors de l'affichage un tit htmlentities() plus quelques regex pour générer les balises en fonction du bb-code CA c'est fiable !

Faut pas oublier qu'avec cette connerie de XSS, bin un tit vole de cookie et le voila connecté sous la session admin !

bibi

Bzh, t'as pensé a faire une cure ?

Parce que la tu fais flipper, on dirait que quand tu marches dans la rue t'as peur qu'on te vole quelquechose.


donc tu me dis :

BBCode + htmlentities + regex

quand moogli te dis:

1 fonction php + regex


Tu vois pas comme une différence ? De plus, les <> sont beaucoup plus faciles d'utilisation et d'accès que les [ ]

LupusMic

L'Internet n'a rien à voir avec la rue. Un administrateur système et un développeur compétent ont déjà observé leurs logs, et se sont rendu compte qu'il y a bien plus d'une attaque par seconde.

Pour ma part, même le bbcode est à réserver à des utilisateurs de confiance.

Au fait, htmlentities et les regex doivent aussi être accompagnées d'un contrôle de l'encodage de la chaîne à traiter.

En ce qui concerne l'accessibilité des touches, c'est un faux problème. Sauf sur Mac :p

Bzh

Bibi ! Je ne fais flipper personne ! Ce que j'essaye de faire comprendre, c'est qu'il y a des possibilités de failles partout, que ce soit du coté serveur que du coté client !!!

Le php est un langage tellement permissif que l'on tombe souvent dans la facilité....

Il y a plusieurs raisons qui font que je reste sur ma position:
->La premiere que j'ai exprimé dans mon poste plus haut
->la deuxième : il me parrait important de garder les infos dans la base en brute et de faire les traitements lors de l'affichage !
->la troisième : le bb-code est devenu comme les smileys, un code connu de tout le monde.

Maintenant, chacun ça façon de voir les choses. A la base j'ai une formation dans la conception de systemes industriels ( electrotechniques ) ou la sécurité des personnes tient une place primordiale ! C'est pour cela que l'on utilise la sécurité POSITIVE afin d'etre sur... Passer par htmlentities() en serait l'adaptation au PHP !

bibi

Je suis tout a fait d'accord pour les possibilités de failles partout ,

mais que ce soit <balise> ou [balise] ca revient au meme.

Pour "le bb code est devenu comme les smileys, un code connu de tout le monde" je suis du meme avis, meme si je pense que c'est une bande feignasse qui a créé ca, dans le but de se faciliter la vie.

Mais entendre que <> c'est plus dangereux que [] c'est n'importe quoi, car ce sont juste des caractères différents.