Filtraggio di codice PHP inserito via form.

[digilinux]

Ciao a tutti.
Ho necessità di filtrare l'input degli utenti per evitare attacchi come "iniezioni" al database, attacchi javascript o porno-spam.

Per i campi "nome" e "licenza" ho risolto utilizzando la funzione di Mysql FILTER_SANITIZE_STRING.

Tuttavia vorrei fare in modo che i campi "descrizione" e "testo" siano liberi, ovvero sia possibile inserire tutti i tag di formattazione, link ed embedding voluti eccetto PHP e JS.
Esiste un modo per filtrarli?
Grazie.

[sevenjeak]

Da quello che so io, se usi delle funzioni per filtrare, o impedire l'inserimento di caratteri che possano essere interpretati come codice, li applica su tutto il testo di quei campi.

L'unica soluzione e integrare un bb-code fatto da te ( personalizzato ), puoi prendere spunto da questa discussione:

http://forum.it.altervista.org/php-m...nalizzato.html

Cosa che io ti consiglio di fare, anche perché, da come puoi vedere in quella discussione, la modifica da bbcode a html avviene solo se il tag è ben formato o chiuso correttamente.

Ovviamente dovresti creare ai codice html i rispettivi codice bbcode, tranne quelli riguardanti il php e il javascript, che da quello che ho capito non vuoi.

Ma io tutto questo, l'interpretazione da bbcode a html lo farei solo nel momento in qui dovresti recuperare i dati dal database.

Invece, prima di salvare i dati nel database io trasformerei tutti i caratteri speciali, tramite la funzion htmlspecialchars() o altro.. ma tutto questo lo farei solamente se adotterei il bbcode, cosa che come già detto ti consiglio per quello che te vuoi fare.

P.S.: O forse te intendevi sapere altro?

[digilinux]

Da quello che so io, se usi delle funzioni per filtrare, o impedire l'inserimento di caratteri che possano essere interpretati come codice, li applica su tutto il testo di quei campi.

L'unica soluzione e integrare un bb-code fatto da te ( personalizzato ), puoi prendere spunto da questa discussione:

http://forum.it.altervista.org/php-m...nalizzato.html

Cosa che io ti consiglio di fare, anche perché, da come puoi vedere in quella discussione, la modifica da bbcode a html avviene solo se il tag è ben formato o chiuso correttamente.

Ovviamente dovresti creare ai codice html i rispettivi codice bbcode, tranne quelli riguardanti il php e il javascript, che da quello che ho capito non vuoi.

Ma io tutto questo, l'interpretazione da bbcode a html lo farei solo nel momento in qui dovresti recuperare i dati dal database.

Invece, prima di salvare i dati nel database io trasformerei tutti i caratteri speciali, tramite la funzion htmlspecialchars() o altro.. ma tutto questo lo farei solamente se adotterei il bbcode, cosa che come già detto ti consiglio per quello che te vuoi fare.

P.S.: O forse te intendevi sapere altro?

Grazie per la risposta.
Non avevo preso in considerazione l'uso del BBCODE ma sembra una buona soluzione.

Il fatto è che per il campo "text" sto usando CKeditor che va più che bene perché trasforma i tag in caratteri speciali e inibisce possibile codice malevolo.

Il problema è che basta disabilitare JS per avere una normalissima textarea e, inoltre, vorrei proporre ad i miei utenti anche una soluzione senza CKEditor (per vecchi browser).

In tal caso, dovrei fare in modo che i tag <b>, <i>, <u>, <strong>, <blink>, <font>, <a>, <img>... vengano conservati ma i PHP e i JS no (basterebbe inserire uno sputo di codice PHP per cancellare tutto il database, o accedere alle password degli utenti).

Inoltre, alla fine del testo preso dal database (inserito dall'utente) bisogna chiudere automaticamente i tag che gli utenti potrebbero lasciare aperti...

Any idea?

Risposta a volo: puoi benissimo farlo con le regex ;)
Non ho links a portata di mano, ma con qualche ricerca trovi tutto l'occorrente :)

[digilinux]

Fantastico, infatti immaginavo che le Regex mi sarebbero potute essere d'aiuto...

Purtroppo ho scandagliato il web ma non ho trovato nulla di già pronto e non ho mai toccato nulla di Regex (purtroppo, perchè ci si possono fare cose fantastiche).

Non è che qualcuno ha qualcosa di già fatto che mi posso adattare anche con conoscenze simil-zero?

[EuroSalute]

non so se è quello che cerchio, ma per impedire codice php nel text area, esiste la funzione molto utile strip_tags() manuale http://php.net/manual/en/function.strip-tags.php

strip_tags ( string $str [, string $allowable_tags ] )

con allowable_tags specifici tutti i tags che vuoi mantenere....attivi nel text area.

[digilinux]

Grazie per il tuo consiglio, era proprio quello che mi serviva ;-)

[digilinux]

Perfetto, funziona benissimo ma c'è un problema che ho notato solo ora:

se inserisco del testo tra simboli maggiore e minore esso viene interpretato come tag!!! Quindi per esempio matrobriva <miaemail> diventa matrobriva!

Mi sa che quindi l'unica soluzione è quella di rimuovere totalmente l'html dal form per l'aggiunta del testo semplice e lasciarlo soltanto a Ckeditor (che converte i tag in &lt e &gt)...

Oppure c'è altro da sapere?