Как осуществлять очистку пользовательского html?

Question

[Snewer]

Здравствуйте!

Пользователь может редактировать статью. Далее сохраненный код отсылается на сервер и, соответственно, обрабатывается. Будет ли достаточно функции strip_tags для очистки от script и прочих не нужных тегов (для защиты от XSS и других ЗЛОштучек)?

Спасибо.

Answer 1

[link_irk]

strip_tags вырежет все теги из строки (включая пользовательскую разметку, если таковая имеется). Если данные будут добавляться в БД, то перед выполнением запрос не лишним будет прогнать через функцию mysql_real_escape_string, которая очистит его и подготовит к безопасному выполнению. Но лучше вынести методы работы с БД в отдельный класс и работать через него. Таким образом вы не упустите в коде ни один запрос. Также уделите внимание валидации полей форм и GET, POST данных, поступающих в скрипт.

Comments

[Snewer]

С записью все хорошо. Мне только не нужно что бы проходил код и другие возможные недочеты при сохранении комментариев / страниц

[Snewer]

strip_tags($_POST['page_html'], '')

[Snewer]

strip_tags($_POST['page_html'], '< p >< img >< a >< strong >< b >< span >')

[link_irk]

Ну а что вам тогда ещё надо? Эта функция и нужна для удаления тегов из строки. Ну можно и через регулярные выражения почистить текст, если хотите.. Но, помимо XSS есть ещё MySQL Injection, от которого вы таким образом не спасётесь. По-этому всё же лучше перед отправкой прогнать код запроса через mysql_real_escape_string. Ещё обратите внимание, если в strip_tags попадают не закрытые и прочие кривые теги, то функция может отработать некорректно.

[Назар Мокринский]

@link_irk Не лучше, а обязательно в 100% случаев.

Answer 2

[Назар Мокринский]

Я для себя писал функцию, которая позволяет использовать стили, html форматирование, но не пускает скрипты и прочие хитрые штучки, можете воспользоваться:
https://github.com/nazar-pc/Useful-PHP-Functions/b...

Answer 3

[jslby]

www.php.net/manual/ru/function.strip-tags.php

Эта функция пытается возвратить строку str, из которой удалены все NUL-байты, HTML и PHP теги.

Comments

[Snewer]

@jslby Я знаю предназначение функции, вопрос стоял по-другому.

[jslby]

Да, эта функция подойдет. Она для этого и создана.

Answer 4

[gro]

В общем случае достаточно escape_string вашей базы и htmlspecialchars при выводе.

Во всех других случаях необходим мозг и понимание того что вообще происходит.
Разберитесь что такое XSS и всё остальное и как они происходят.

Comments

[Snewer]

Код может содержать , теги. Указанные функции не подойдут. Сейчас чищу код указанной в описании вопроса функцией.

Answer 5

[Роман no_name]

я использую для записи в бд следующую функцию

$bio = mysql_real_escape_string(trim($_GET['bio']));

а для вывода с бд

$bio = preg_replace("/[\r\n]+/", "</p><p>", $row ['about']);

мне кажется этого достаточно

Comments

[Snewer]

А как быть если разрешены ?

Answer 6

[remaora]

Если Вы хотите убрать из текста статьи все теги, кроме разрешённых, то, как сказали другие, strip_tags вполне достаточно.
Если же Вам требуется что-то более сложное (например, почистить HTML от "грязных" тегов и атрибутов таким образом, чтобы отредактированная статья при выводе не поломала вёрстку сайта), тогда стоит обратить внимание на HTMLPurifier.