Tous ceux qui ont le triste privilège de relire mes snipètes *mort* vous le diront, à force de ne coder que pour mon usage personnel, je n'ai pas appris à me méfier des utilisations malhonnêtes des sites et la faille XSS est en quelque sorte devenue ma marque de fabrique (spécial wink to JérômeJ entre autres ). ^^

Ce désolant constat posé, j'ai commencé un travail sur moi-même *tartag* et m'efforce de sécuriser les choses les plus évidentes à coup de htmlentities ou hmltspecialchars ...

Toutefois, et afin de tempérer le légitime engouement pour ces fonctions, il faut bien reconnaître que parfois, on veut bien sécuriser mais on aimerait tout de même conserver le balisage html, ou alors, on aimerait bien qu'en cas de balisage (volontaire ou pas) on ne se retrouve pas avec un texte tout moche qui apparaisse AVEC les balises html pour cause d'entités...

Je vous propose une petite fonction, à améliorer sans doute, qui permettra:

• de sécuriser une chaine,
• de sécuriser un tableau, même multidimensionnel,
• de préciser le résultat que vous souhaitez obtenir

Il suffit d'appeler la fonction secure pour virer ce qui peut s'avérer dangereux. Le second argument de cette fonction spécifie le niveau d'agressivité de la suppression: 

• 0 (valeur par défaut) : elle vire tout balisage par un strip_tags et ne retrourne que le texte brut, ce qui est utile pour éviter de voir apparaître le balisage dans un titre ou un bouton par exemple...
• 1 : seuls les balises script et javascript: ainsi que les js attachés aux évènements onclick etc sont supprimés... On conserve donc le balisage html normal.
• 2: on sécurise par un htmlspecialchars, ce qui aura pour effet collatéral de laisser apparaître les tags html.

En conclusion, je préciserais tout de même que le paramètre 1 de cette fonction ne protègera pas d'un code malicieux inline implanté dans un évènement, comme par exemple:

echo secure('<a href="test.htm" onclick="alert(\'\')">yo!</a>',1);

Il faudra, pour être sûr de soi, mettre 0 ou 2 à la place du 1.

Désormais, cette fonction supprime directement le code inline en même temps que les balises <script> et javascipt: .

 La question du lundi aura pour sujet le jeune homme que voilà... 

Il excelle dans une spécialité qui compte pourtant un très grand nombre de pratiquants, c'est vous dire s'il est doué dans son domaine.

Seulement, voilà... quel domaine ?

(oui, c'est facile, mais c'est rigolo quand même ^^, j'ai même hésité à la poster dans l'inspiration du mardi :-D  )

 Le productivity killer d'aujourd'hui est un jeu basé sur le principe du film Memento (si vous ne l'avez pas vu, dépéchez-vous de le téléch louer légalement en VOD, faites-moi confiance), c'est-à-dire qu'il est monté à l'envers: à l'instar du film dont le héros souffre d'une forme d'amnésie le conduisant à redécouvrir la réalité toutes les deux minutes, le personnage du jeu en remonte les scènes par tranches de cinq minutes...

Alors, emmenez votre laptop aux cabinets en annonçant à la cantonnade que la béchamel au chocolat d'hier-soir ne se mariait pas si bien qu'on aurait pu le souhaiter avec les huîtres à la crème anglaise, verrouillez la porte et tout en poussant de temps à autres des gémissements désespérés, cliquez là-dessous... 

 Hier, je me grattais la tête avec la fonction mail() de php qui refusait de fonctionner...

J'ai épluché la doc, tripatouillé, testé pendant une heure des modifs, avant de me rendre compte que je ne lui passais pas la bonne variable d'adresse... (nudge à tous les codeurs qui ont envie de se coller des tartes en se rendant compte qu'ils pestent depuis une demi-journée contre un langage/doc etc avant de se rendre compte que l'erreur vient d'eux *mort* )

M'enfin, j'ai tellement tripatouillé que j'en étais à me faire une fonction toute prête, en mode c'est la dernièrefois que je réfléchis à ça...

Donc, si jamais ça peut servir je la pose là.

  Une petite devinette culturelle pour débuter la semaine ?