bonjour

mon site sera que l'utilisateur peut créer sa propre page avec vidéo, graphique tableau, etc.....donc j'utilise ckeditor car pas mal de modules.

après enregistrement dans base avec du prepare.

je vérifie chaque page avant diffusion avec du textarea et du htmlspecialchars par contre quand je diffuse; je dois enlever le htmlspecialchars

sinon je ne vois le style de la page...mais comme il peut y a avoir du code donc des fonctions qui peuvent être exectable.

je cherche tous ce qui peut être exectable, je ne connait pas tous langages si quelqu'un peut me dire ou je peut trouver tous ça.

  j'ai commencé je ne peut pas mettre ici car openclassrooms bloque:

	 function secu_donnees5($donnees){
		 $donnees = str_replace( 'console.log', 'console.log', $donnees);
		 $donnees = str_replace( 'alert(', 'alert(', $donnees);
		 $donnees = str_replace( 'function()', 'function()', $donnees);
		 $donnees = str_replace( '.onload', '.onload', $donnees);
				

Pourquoi réinventer la roue ? Il existe HTMLPurifier pour ça.

-
Edité par julp 2 octobre 2021 à 18:35:15

j'ai pas testé mais je sais que ça va être une galère avec ckeditor... déjà maintenant simplement pour afficher du code avec du div en gardant le style.

j'ai lu qui bloque tous et lourd ou il faut tous paramétrer.

avec la partie code, je veut l'afficher sans exécuter et pas la bloquer comme sur open (c'est hyper pénible).

je ne vois que str_replace pour mon cas.

si quelqu'un connait un site qui regroupe tous ce qui peut être dangereux sur tous les langages existant.