Anti hack Javascript

Vous en marre de voir vos formulaires rempli de Javascript ? et pourtant vous aimeriez laisser vos visiteurs mettre un peu de HTML dans vos formulaires.
Mais surtout pas de JavaScript!! En plus il est facile de se faire hacker par du JS !!
Ce code va empecher plusieurs formes de hacking;
(voir dans les commentaires du code)
Le code va tout simplement remplacer le hack par du vide, vous pourriez etre plus méchant en renvoyant le hacker sur une url bidon en utilisant un preg_match, mais ca c'est à vous de voir ^^

Tous les codes

KOogar

Site de l'auteur voir

[65] sources en PHP voir

Code vu 3413 fois

Enregistré le 13 Oct 2009

téléchargement du zip

impression de la fiche

Code Source

01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.

<?php
/******************************************************************************/
/*                                                                            */
/*                       __        ____                                       */
/*                 ___  / /  ___  / __/__  __ _____________ ___               */
/*                / _ \/ _ \/ _ \_\ \/ _ \/ // / __/ __/ -_|_-<               */
/*               / .__/_//_/ .__/___/\___/\_,_/_/  \__/\__/___/               */
/*              /_/       /_/                                                 */
/*                                                                            */
/*                                                                            */
/******************************************************************************/
/*                                                                            */
/* Titre          : Anti hack Javascript                                      */
/*                                                                            */
/* URL            : http://www.phpsources.org/scripts531-PHP.htm              */
/* Auteur         : KOogar                                                    */
/* Date édition   : 13 Oct 2009                                               */
/* Website auteur : http://www.koogar.fr                                      */
/*                                                                            */
/******************************************************************************/


// les differentes possibilité de hack :: (celle que l'on contre massivement)

// <script>hack js</script>
// < script>hack js</script>
// <script type="text/javascript">hack js</script>
// < script type="text/javascript">hack js</script>

$text_hacker = 
" <html> xxx <script><!--body onload=&amp;quot;alert('');--></script> xxx" .
" </html> "; // ceci est un exemple

$texte_sans_hack = preg_replace(
'#<[\n\r\s]*script[^>]*[' .
' \n\r\s]*(type\s?=\s?"text/javascript")*>.*?<[\n\r\s]*/script[^>]*>#ie','',
$text_hacker);
echo $texte_sans_hack;
?>

Tous les codes Sécurité

Fonctions du code

preg_replace

: Rechercher et remplacer par expression rationnelle standard - (PHP 4, PHP 5)

echo

: Affiche une chaîne de caractères - (PHP 4, PHP 5)

Commentaires

Le 05 Jan 2010 à 18:32:00

Une bonne pratique, au lieu de faire une "black list" des balises interdites (ici, la balise script) serait d'utiliser une "White List", c'est a dire, une liste des balises autorisées, tout autre balise html serait remplacée par <la_balise_interdite>

Le 19 Fév 2010 à 21:45:00

Pour compléter le commentaire précédent, on peut utiliser la fonction strip_tags qui supprime toute les balises sauf celles choisies :
$str=$_POST['champ'];
$striptagtext=strip_tags($str, '<p><strong><em><del><ul>...');