Исключения в регэкспах
- Автор темы Serg
- Дата начала
chisto_tolyan
Враг народа
тэги можно вырезать ф-ией http://php.net/strip_tags
там же можно указать разрешенные тэги.
там же можно указать разрешенные тэги.
svetasmirnova
маленький монстрик
Serg
Извиняюсь за оффтопик, но меня постоянно мучает этот вопрос: а что хорошего в записи кода в одну строку?
Извиняюсь за оффтопик, но меня постоянно мучает этот вопрос: а что хорошего в записи кода в одну строку?
sakon
П..и.н..ок
white phoenix
Новичок
svetasmirnova
зачастую так проще читать
Serg
решение пришедшее мне в голову imho не правильное, т.е. не самое оптимальное, но имеет право на существование. ищешь все _допустимые_ теги и модифицируешь их: "<(/)b>" -> chr(1)."(/)b".chr(1), затем htmlspecialchars, затем обратно chr(1)."(/)b".chr(1) -> "<(/)b>", я думаю chr(1) присылать никто не будет, тем не менее для корректной работы, удали предварительно chr(1) из строки. [offtop]если не удалишь из строки, и будешь использовать рег. выражение для замены chr(1)."(/)b".chr(1) -> "<(/)b>", это может вызвать уязвимость css.[/offtop]
зачастую так проще читать
Serg
решение пришедшее мне в голову imho не правильное, т.е. не самое оптимальное, но имеет право на существование. ищешь все _допустимые_ теги и модифицируешь их: "<(/)b>" -> chr(1)."(/)b".chr(1), затем htmlspecialchars, затем обратно chr(1)."(/)b".chr(1) -> "<(/)b>", я думаю chr(1) присылать никто не будет, тем не менее для корректной работы, удали предварительно chr(1) из строки. [offtop]если не удалишь из строки, и будешь использовать рег. выражение для замены chr(1)."(/)b".chr(1) -> "<(/)b>", это может вызвать уязвимость css.[/offtop]
Serg
Новичок
вот так это выглядит на данный момент
PHP:
$text = preg_replace("/&/is", '&', $text);
$text = preg_replace("/</is", '<', $text);
$text = preg_replace("/<(\/?)(p|div|i|em|b|strong|a|img)([^a-zA-Z0-9])/is", '<\1\2\3', $text);
$text = preg_replace("/&/is", '&\1', $text);
PHP:
preg_replace("/<([\s\n\!\@\$\#\%\?]*\/?\W*)!(список разрешенных тэгов)(\W*)/is", <\1\2\3, $text);в первое не входят !@#$%&? и т.п.
а во второе вроде бы \r
zarus
Хитрожопый макак
а что если...
Если сменить (?!...) на (?=...) тогда будет требоваться наличие только этих тегов
Это первоначальный вариант, обрезающий тэги, его можно изменить, чтобы он не обрезал их, а только заменял <>
PHP:
$test_string = "<div>U are very beautiful <b>girl</b>, but alas <img src='/f$k_u_bush' />I've got another <i>business in here</i>. See ya later!</div>";
// Запрещенные парные тэги
$not_allowed_tags['dual'] = array('div','i','emote'....);
// Запрещенные непарные тэги
$not_allowed_tags['single'] = array('img','br','hr'....);
// Строка поиска для парных
$search_string = '/(?:<((?!'.implode("|",$not_allowed_tags['dual']).'.*?)>)(.*?)(?:<\/(\1)>)/msi';
preg_replace($search_string,'/\2/',$test_string,-1);Это первоначальный вариант, обрезающий тэги, его можно изменить, чтобы он не обрезал их, а только заменял <>
svetasmirnova
маленький монстрик
PEAR::HTML_Safe Только там не одна строчка 
svetasmirnova
маленький монстрик
http://pear.php.net
Далее искать этот пакет
Далее искать этот пакет
white phoenix
Новичок
PEAR это сила, но на мой взгляд слишком много кода
zarus
Хитрожопый макак
Я считаю, что при проверке вводимых значений этот пакет целиком лучше применять к полям типа textarea (или как вариант WYSIWYG), так как именно там нужно ослаблять защиту от инъекций. А остальные поля надо жестко подгонять под тот тип, который нужен - intval, floatval и striptags вкупе с удалением всего, что выглядит как <?* ... ?>, < > ... </>, плюс обрезание полей до нужной длины. Ну и не без addslashes (mysql_real_escape_string) и htmlspecialchars.