< dans l'aperçu d'un textarea

Sujet résolu

Anonyme

11 janvier 2006 à 12:57:25

Bonjour,

Encore un "problème"...

Cette fois, ma question est de savoir comment puis-je remplacer les < et > par > &lt; dans l'aperçu d'un textarea

Mais aussi peut-on "infiltrer" le code d'une page php avec par exemple une requète SQL dans un aperçu d'un formulaire?
Au cas où mon code :

// JavaScript Auteur: http://tofem.net/ressources
var timer=0;
var ptag=String.fromCharCode(5,6,7);
function visualisation() {
t=document.forms['contenu'].texte.value
t=code_to_html(t)
if (document.getElementById) document.getElementById("previsualisation").innerHTML=t
if (document.forms['contenu'].auto.checked) timer=setTimeout(visualisation,1000)
}
function automatique() {
if (document.forms['contenu'].auto.checked) visualisation()
}
function code_to_html(t) {
t=nl2khol(t)
// balise Gras
t=deblaie(/(\[\/b\])/g,t)
t=remplace_tag(/\[b\](.+)\[\/b\]/g,'$1',t)
t=remblaie(t)
// balise Italique
t=deblaie(/(\[\/i\])/g,t)
t=remplace_tag(/\[i\](.+)\[\/i\]/g,'$1',t)
t=remblaie(t)
// balise Underline
t=deblaie(/(\[\/u\])/g,t)
t=remplace_tag(/\[u\](.+)\[\/u\]/g,'$1',t)
t=remblaie(t)
// balise Img
t=deblaie(/(\[\/img\])/g,t)
t=remplace_tag(/\[img\](.+)\[\/img\]/g,'<img src="$1"/>',t)
t=remblaie(t)
// balise URL
t=remplace_tag(/\[url=([^\s<>]+)\](.+)\[\/url\]/g,'<a href="$1" target="_blank">$2</a>',t)
// balise URL
t=remplace_tag(/\[url\](.+)\[\/url\]/g,'<a href="$1" target="_blank">$1</a>',t)
t=unkhol(t)
t=nl2br(t)
return t
}
function deblaie(reg,t) {
texte=new String(t);
return texte.replace(reg,'$1\n');
}
function remblaie(t) {
texte=new String(t);
return texte.replace(/\n/g,'');
}
function remplace_tag(reg,rep,t) {
texte=new String(t);
return texte.replace(reg,rep);
}
function nl2br(t) {
texte=new String(t);
return texte.replace(/\n/g,' ');
}
function nl2khol(t) {
texte=new String(t);
return texte.replace(/\n/g,ptag);
}
function unkhol(t) {
texte=new String(t);
return texte.replace(new RegExp(ptag,'g'),'\n');
}

// Helpline messages
b_help = "Texte gras : [b]texte[/b]";
i_help = "Texte italique : [i]texte[/i]";
u_help = "Texte souligné : [u]texte[/u]";
p_help = "Insérer une image : [img]http://image_url/[/img]";
w_help = "Insérer un lien : [url]http://url/[/url] ou [url=http://url/]Nom[/url]";

// Shows the help messages in the helpline window
function helpline(help) {
document.formu.helpbox.value = eval(help + "_help");
}
function countInstances(open,closed)
{
var opening = document.hop.contenu.value.split(open);
var closing = document.hop.contenu.value.split(closed);
return opening.length + closing.length - 2;
}

function TAinsert(text1,text2,contenu)
{

var ta = document.getElementById(contenu);

if (document.selection) {

var str = document.selection.createRange().text;
ta.focus();

var sel = document.selection.createRange();
if (text2!="")
{
sel.text = text1 + sel.text + text2;
}
else
{
sel.text = sel.text + text1;
}

}
else if (ta.selectionStart | ta.selectionStart == 0)
{
if (ta.selectionEnd > ta.value.length) { ta.selectionEnd = ta.value.length; }

var firstPos = ta.selectionStart;
var secondPos = ta.selectionEnd+text1.length;

ta.value=ta.value.slice(0,firstPos)+text1+ta.value.slice(firstPos);
ta.value=ta.value.slice(0,secondPos)+text2+ta.value.slice(secondPos);

ta.selectionStart = firstPos+text1.length;
ta.selectionEnd = secondPos;
ta.focus();
}
else
{ // Opera
var sel = document.hop.contenu;

var instances = countInstances(text1,text2);
if (instances%2 != 0 && text2 != ""){ sel.value = sel.value + text2; }
else{ sel.value = sel.value + text1; }
}
}

Merci.

headbanger

11 janvier 2006 à 12:59:35

si tu peut faire du php utilise la fonction htmlentities sinon en javascript je voi pas

et pour la deuxieme question je voi pas

Nyro Xeo

11 janvier 2006 à 13:12:26

Il te faut toi-même créer la fonction htmlspecialchars() :

function htmlspecialchars(texte)
{
texte = texte.replace(/\"/g, '"');
texte = texte.replace(/&/g, '&');
texte = texte.replace(/</g, '<');
texte = texte.replace(/>/g, '>');
return texte;
}

Anonyme

11 janvier 2006 à 18:46:05

Ca marche merci, mais peut-on m'"attaquer" par cet apreçu?
Et ai-je tous les caractères là :

texte = texte.replace(/\"/g, '"');
texte = texte.replace(/&/g, '&');
texte = texte.replace(/</g, '<');
texte = texte.replace(/>/g, '>');
texte = texte.replace(/²/g, '²');
texte = texte.replace(/é/g, 'é');
texte = texte.replace(/è/g, 'è');
texte = texte.replace(/ç/g, 'ç');
texte = texte.replace(/à/g, 'à');
texte = texte.replace(/°/g, '°');
texte = texte.replace(/§/g, '§');
texte = texte.replace(/ù/g, 'ù');
texte = texte.replace(/µ/g, 'µ');
texte = texte.replace(/£/g, '£');
texte = texte.replace(/¤/g, '¤');
texte = texte.replace(/â/g, 'â');
texte = texte.replace(/ê/g, 'ê');
texte = texte.replace(/û/g, 'û');
texte = texte.replace(/î/g, 'î');
texte = texte.replace(/ô/g, 'ô');
texte = texte.replace(/ä/g, 'ä');
texte = texte.replace(/ë/g, 'ë');
texte = texte.replace(/ü/g, 'ü');
texte = texte.replace(/ï/g, 'ï');
texte = texte.replace(/ö/g, 'ö');

Encore merci.

Nyro Xeo

11 janvier 2006 à 19:09:49

Non mais franchement, la fonction que je t'ai donnée est suffisante ! Pas besoin de faire de remplacements pour tous les caractères spéciaux, si tu définis un bon encodage (ce que je te conseille), sinon liste les milliers d'autres caractères, aussi !

Et puis pour ta question, normalement pas (avec mon simple code, donc), mais dans tous les cas, toute "attaque" n'est faite que sur le client (enfin le navigateur). Donc aucun risque pour ton site. Mais... non non ne t'inquiète pas, avec un htmlspecialchars() complet (tel que la fonction que je t'ai écrite), il est impossible de faire parser du XHTML...

Anonyme

11 janvier 2006 à 19:47:11

Très bien, merci beaucoup !

Nyro Xeo

11 janvier 2006 à 19:50:51

Mais de rien

Problème résolu ?