Tag Pericolosi

[ExSoax]

Sto realizzando un sito web in esso è presente un textarea fatto in javascript ,un editor visuale per l'html, (TYNIMCE).... In pratica questo editor elabora tag table,b,i e molti altri in modo che l'utente possa personalizzare al massimo la pagina con tutti i tag HTML. Ora stavamo eliminando i tag che possono essere pericolosi a nostro avviso, che per il momento sono
FRAME
IFRAME
SCRIPT

Cosa altro mi consigliate?

Grazie in anticipo

[ExSoax]

up

[Samleo]

Ma se la metti così, anche un file immagine o un anchor potrebbe essere pericoloso!

Il tutto dipende da che livello di protezione ha l'intero sito!

[oly1982]

io ti darei come consiglio quello di invertire la prospettiva di approccio del problema e ragionare con i tag consentiti ed impiegare strip_tags che ti elimina tutto il testo

Codice PHP:

<?php
$tag_consentiti = '

<font><h1><h2><h3><a>[b][b]<u>[i]<table><tr><td><tbody>'; 

$nuovo_testo_filtrato = strip_tags($testo_proveniente_da_TYNIMCE, $tag_consentiti);
?>

se invece ci tieni a eliminare solo i tag che ritieni indesiderati ho trovato su php.net (dove si trova tutto!!!) questa funzione

Codice PHP:

<?php 
function strip_only($str, $tags, $stripContent = false) { 
    $content = ''; 
    if(!is_array($tags)) { 
        $tags = (strpos($str, '>') !== false ? explode('>', str_replace('<', '', $tags)) : array($tags)); 
        if(end($tags) == '') array_pop($tags); 
    } 
    foreach($tags as $tag) { 
        if ($stripContent) 
             $content = '(.+</'.$tag.'[^>]*>|)'; 
         $str = preg_replace('#</?'.$tag.'[^>]*>'.$content.'#is', '', $str); 
    } 
    return $str; 
} 

$str = '<font color="red">red</font> text'; 
$tags = 'font'; 
$a = strip_only($str, $tags); // red text 
$b = strip_only($str, $tags, true); // text 
?>

[ExSoax]

Grazie della risposta, ma puoi rispiegarmi un secondo la prima funzione con la quale permetto i tag quindi?

[ExSoax]

intendo strip_tags

[oly1982]

c'è google e c'è php.net!!!

ma è così faticoso??

Codice PHP:

<?php
$esempio = "<script type='text/javascript'>alert('Attenzione!');</script><h1>ciao</h1>";
// la variabile tag consentiti cosa mai sara???!
$tag_consentiti = '

<font><h1><h2><h3><a>[b][b]<u>[i]<table><tr><td><tbody>';  

// applichiamo strip_tags
$nuovo_testo_filtrato = strip_tags($esempio, $tag_consentiti); 

// vediamo che fine fanno i tag <script> (non contentuto in $tag_consentiti)
// e il tag <h1>
echo $nuovo_testo_filtrato;
?>

[ExSoax]

si però php.net è inglese xD

[ExSoax]

senti una cosa ma se il tag avesse delle proprietà, ad esempio : <table align="center">TESTO</table> quella funzione lo permette comunque?

[ExSoax]

Risolto potete chiudere.