BBкоды, как лучше поступить?

[Malcolm_Reed]

BBкоды, как лучше поступить?

Собственно потребовалось создать для гостевой книги ББкоды. Писать самому - все равно что изобретать велосипед + не безопасно. Отсюда появился вопрос - есть ли БЕЗОПАСНЫЕ классы для обработки ББкодов? Т.е. те в которых на данный момент не найдено дырок, и в ближайшее время их не будет (а еще лучше если создатель регулярно обновляет свой класс).
Спрашиваю совета у тех у кого есть опыт, а то напороться на напроч дырявый класс для парсинга очень не хочется.

 

[Solid]

Malcolm_Reed
Обязательно BBcode'ы? Я бы посоветовал лучше использовать TinyMCE + чистку запрещённых тегов.

 

[que_bunt]

Solid ставить wysiwyg-редактор в гостевую ИМХО как раз не надо! тут ббкоды намного безопасней будут.

Malcolm_Reed написать парсер 10 тегов не так уж и сложно, и будет наверное проще чем брать чужые класы.
если уж очень хочуться можешь пойти на http://pear.php.net/. (один из вариантов: http://pear.php.net/package/HTML_BBCodeParser) (я им не пользовался, просто запустил поиск, чего и тебе советую делать).

 

[Malcolm_Reed]

написать парсер 10 тегов не так уж и сложно

Я не спорю. Но как я уже сказал выше - меня сильно волнует безопасность данного парсинга, а испытывать на себе многолетний опыт создателей всяких Инвижнов, у которых по сей день дырки находятся, очень не хочется....
Я пок ачто знаю только об одной хорошей штуке, под названием vbulletin - благо они не только время, но и деньги тратят на безопасность)) и в последних версиях форума дырок в парсинге не было, так что можно было ыб оттуда стянуть, но я там покопался покопался, и решил что проще будет найти готовое решение, чем выдирать )))
За ссылку спасибо, посмотрю.

 

[kruglov]

Ну, надо только осознавать, где могут быть проблемы.

Достаточно написать такой парсер, чтобы вставлял только теги из минимального списка. Не разрешать пользователю вставлять атрибуты типа style. И чтоб вставляемые ссылки-картинки начинались бы с http:// (https://, ftp://) и больше ни с чего.

Все.

 

[nerezus]

так что можно было ыб оттуда стянуть, но я там покопался покопался, и решил что проще будет найти готовое решение, чем выдирать )))

Элементарно оттуда выдирается. Только вот пару переменных из рабочей среды придется вытащить )
print_r() те в помощь

 

[Tor]

не найдено дырок, и в ближайшее время их не будет

сначала думаем, потом пишем

 

[Vladson]

Tor
Не нужно придираться к словам, думаю 99% читателей поняли что имелось в виду...

 

[Malcolm_Reed]

Tor что-то не устраивает?
Я привел в качестве примера движок Vbulletin в котором сейчас дыр при парсинге нет, и в ближайшее время их не будет. Просто потому что их там уже не было с пол года в ББ кодах.

 

[Tor]

и в ближайшее время их не будет

можно еще список продуктов, где "их не будет"?
очень нужен, честно

 

[que_bunt]

Tor наверное уже лучше сходить к настоящей гадалке ;-)

 

[Solid]

que_bunt
Почему не надо? К примеру, очень простой вариант: http://tinymce.moxiecode.com/example.php?example=true

 

[que_bunt]

Solid я не буду тебя уговаривать, хочешь - используй, ИМХО - в гостевой этого не надо.

 

[Solid]

que_bunt
Мне то по-барабану... тебе ж надо. Просто совет.

 

[Malcolm_Reed]

можно еще список продуктов, где "их не будет"?

Других продуктов, которые могут позволить себе платить бешеные бабки секьюрити спецам за то чтобы те искали дыры в их приложениях, не знаю.
Может ты хочешь поспорить, что в ближайшие скажем 6 месяцев не будет найдено дыр в последних версиях парсинга Vbulletin? Я без проблем могу поспорить на пару сотен баксов. Не потому что я экстрасенс, а потому что до тебя не доходят элементарный истины.
Считаешь что 6 месяцев это мало? я бы так не сказал. Ставить патчи раз в пол года приятнее, чем каждый день.

-~{}~ 30.12.06 21:53:

вопрос решен, тему можно закрывать.