שלום לכולם,
אמממ בזמן האחרון בניתי עורך wysiwyg... ועכשיו אני לא הצלחתי לחשוב על דרך יעילה לסנן תווים לא חוקיים אבל להשאיר תווים שאני רוצה כמו <b> <center> וכו'...

חשבתי על שימוש בביטויים רוגלארים אבל לא ראיתי בזה טעם... חשבתי שאולי יש דרך יותר פשוטה אז אנא שתפו אותי :]

תודה, אמיר.

http://il.php.net/manual/en/function.strip-tags.php

ציטוט:

במקור נכתב על ידי דור http://il.php.net/manual/en/function.strip-tags.php

האמת שזה דיי שימושי D:
תודה :]
אני רק אסנן אחרי זה את כל הסוגים השונים של הevents בjs ועוד כל מיני דברים מפחידים...

תודה רבה

ואם תשתמש בBBCODE...
http://en.wikipedia.org/wiki/BBCODE
ואז תוכל בלי לדאגה להשתמש ב:
htmlspecialchars

אבל הבנאדם רוצה ערוך WYSIWYG

אבל אפשר אולי בעורר WYSING שהוא יכתוב...
לשנות אוטמתית את הEXECCOMMAND שיהפוך אותם לתגי BBCODE...
אני אישית פעם כתבתי עורךWYSING אבל לא סימתי אותו...
רבע בערך עשיתי...
ודי נתקעתי בשאלה הזאת ^^ ...
אז הפתרון שחשבתי עליו הוא להפוך את הקוד התצוגתי שהעורך משתמש בו לBBCODE...

לבנות סינון בעצמך זה לא ממש יעיל כי יש אלפי שיטות להזרקת XSS...
פשוט המון שיטות... יכולים להכניס לך את זה בתוך ATTRIBUTE...
יכולים להשתמש בקיצור ב:

קוד:

<iframe src="javascript:alert(1)"></iframe>

למשל ^^ ויש עוד המון שיטות ^^

לסיכום:
אני אישית ממליץ להשתמש ב:
htmlspecialchars
וזהוא יש לך אבטחה ^^
כדי לאפשר עיצוב שנשלח לשרת להשתמש בBBCODE...
את העיצוב של העורך WYSING לכתוב קוד בJS כמו שאמרתי למעלה ^^
זה בהחלט לא עבודה פשוטה אבל אפשרית ככל הנראה ^^...

אשמח לשמוע רעיונות \ אפשרויות אחרות...

ציטוט:

במקור נכתב על ידי emanuel אבל אפשר אולי בעורר WYSING שהוא יכתוב... לשנות אוטמתית את הEXECCOMMAND שיהפוך אותם לתגי BBCODE... אני אישית פעם כתבתי עורךWYSING אבל לא סימתי אותו... רבע בערך עשיתי... ודי נתקעתי בשאלה הזאת ^^ ... אז הפתרון שחשבתי עליו הוא להפוך את הקוד התצוגתי שהעורך משתמש בו לBBCODE... לבנות סינון בעצמך זה לא ממש יעיל כי יש אלפי שיטות להזרקת XSS... פשוט המון שיטות... יכולים להכניס לך את זה בתוך ATTRIBUTE... יכולים להשתמש בקיצור ב: קוד: <iframe src="javascript:alert(1)"></iframe> למשל ^^ ויש עוד המון שיטות ^^ לסיכום: אני אישית ממליץ להשתמש ב: htmlspecialchars וזהוא יש לך אבטחה ^^ כדי לאפשר עיצוב שנשלח לשרת להשתמש בBBCODE... את העיצוב של העורך WYSING לכתוב קוד בJS כמו שאמרתי למעלה ^^ זה בהחלט לא עבודה פשוטה אבל אפשרית ככל הנראה ^^... אשמח לשמוע רעיונות \ אפשרויות אחרות...

איך אני יכול להפוך את הexeccommand לbbcode?
בעקרון בעורך שלי אני משתמש בDIV שאני הופך אותו לחלון שניתן לערוך ועם execcommand...
אבל שאמרת א כל הדרכים של הXSS אני לא חושב שיש יותר מדי... הכוונה ברור שיש המון דרכים אבל אפשר למנוע המון מהם בשניה...
אני מעיף את כל הevents, יבטל כל אפשרות לJS...

בכ"מ מישהו שפעם היה בסרט הזה ועשה משהו הכי יעזור לי כרגע...

השאלה היא איך בדיוק ^^
תחפש באינטרנט על הפקודות השונות שקשורות אפילו בצורה עקיפה לEXECCOMMAND ^^ ותשתמש בהם ^^...
למשל כשאני בניתי את העורך מאוד עניין אותי איך קורה...
כשאני נגיד עובד פה על טקסט שהוא מודגש...
התמונה של הB \ הSTYLE שלה משתנה...
אחרי שחשבתיXD חיפשתי באינטרנט באתרים של JS...
על כל מיני אובייקטים אפשריים ^^
היה אחד שמאוד מצא חן בעיני אבל הוא דרש קוד ארוך ומיגע ^^....
http://www.javascriptkit.com
אני זוכר שזה היה באתר הזה ^^ אני לא מוצא תלינק המדויק לצערי ^^...


בכל מקרה לגבי הXSS פרוש מהגנות יש אלפי שיטות להזרקות!אלפים!
http://ha.ckers.org/xss.html
בטוח שיש עוד המון שיטות ועוד ^^...

סלחו לי על התגובה הלא קשורה אבל הסמיילי שלך הורס לי את הבריאות :O

http://shiflett.org/blog/2007/mar/a...-preventing-xss

פעם קראתי את הכתבה שלו אבל שכחתי מה הוא כותב בה...זה נראה שהוא משתמש ב- preg, בדיוק מה שלא רצית, אבל בדוק בכל זאת.

גם זכור לי על תגובה של מישהו באתר של php.net אבל שכחתי באיזה עמוד זה נמצא...בע"ה בלי נדר אחפש

ניסית לעבור על כל האלמנטים בעמוד ולהוריד ממהם את כל הארועים?

קוד PHP:

 iframe.contentWindow.document.childNodes[..].onsomething 


ככה תוכל להוריד מהם את מה שאתה רוצה.

הDOM יכול לעזור לך בבניית עורך wysiwyg יותר ממה שאתה חושב (מנסיון, אני בניתי כבר 3 ע"מ לייעל כל פעם את הקוד)

לקריאה נוספת : http://www.w3schools.com/htmldom/default.asp

בהצלחה

הגלריה שלי בפליקר