Discussion :

[AlphaYoDa]

Bonjour,

Suite � l'ajout d'un �diteur wysiwyg pour la gestion du contenu html en ligne (http://tinymce.moxiecode.com/) j'ai peur que les utilisateurs puissent ajouter du code javascript.

L'�diteur bloque ce genre de code mais une attaque pourrait se produire par la m�thode POST.

Est-ce que quelqu'un a une fonction qui permette de supprimer le code javascript d'un texte html ? Y compris par exemple, les onclick etc.

Merci

edit: je viens de trouver �a qui a l'air pas mal : http://pixel-apes.com/safehtml

[polace]

AlphaYoDa tu devrais, poser ta question dans le forum javascript

[AlphaYoDa]

c'est pourtant du PHP que je cherche ,)

[chaced]

c'est pourtant du PHP que je cherche ,)

Tu interpretes le HTML ou pas apres ?

Si tu affiches le texte saisie (genre comme sur le forum), tu peux utiliser htmlentities ou htmlspecialchars, �a transforme les balises en ascii html.

[AlphaYoDa]

j'affiche l'HTML comme il est dans la base de donn�e vu que l'�diteur me donne le code tout pr�t.

Mais je crois avoir trouv� la solution avec safeHTML qui s'occupe de supprimer les balises dangereuses !

[psychoBob]

Tu ne peux pas placer un str_replace qui te supprime exclusivement la balise <script></script> ?

[AlphaYoDa]

le but �tant de s�curiser, il y a beaucoup d'autres fonction "dangereuses".