Smarty Forum Index Smarty
WARNING: All discussion is moving to https://reddit.com/r/smarty, please go there! This forum will be closing soon.

Inclure strip_tags() ou htmlspecialchars à Smarty

 
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    Smarty Forum Index -> Language: French
View previous topic :: View next topic  
Author Message
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Sat Dec 11, 2010 9:09 pm    Post subject: Inclure strip_tags() ou htmlspecialchars à Smarty Reply with quote

Bonjour,
Je voudrais si Smarty a une fonction similaire à htmlspecialchars ou encore mieux à strip_tags()
afin de sécuriser les pages, formulaires...
Ou bien comment puis-je faire pour que les balises HTML soient supprime ou transformé en entités quand il est assigné à Smarty

Merci d'avance Wink


Last edited by laresistance2 on Thu Dec 16, 2010 8:56 pm; edited 4 times in total
Back to top
View user's profile Send private message Visit poster's website
Gowser
Smarty Pro


Joined: 19 Feb 2008
Posts: 104
Location: Nantes (France)

PostPosted: Sat Dec 11, 2010 10:50 pm    Post subject: Reply with quote

Bonsoir,

Tu peux utiliser le modifier "escape" : http://www.smarty.net/docsv2/fr/language.modifier.escape.tpl

++
Back to top
View user's profile Send private message Send e-mail
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Sun Dec 12, 2010 12:43 am    Post subject: Reply with quote

Merci,
J'ai aussi trouvé http://www.smarty.net/docsv2/fr/language.modifier.strip.tags pour strip.tags
Mais il n'est pas possible de l'activer par défaut pour que toutes les variables {$jesuisunevariable} soient transformés en entités au lieu de faire {$jesuisunevariable|escape} ?
Back to top
View user's profile Send private message Visit poster's website
Gowser
Smarty Pro


Joined: 19 Feb 2008
Posts: 104
Location: Nantes (France)

PostPosted: Sun Dec 12, 2010 1:00 am    Post subject: Reply with quote

Oui tu peut utiliser le default_modifiers qui va du coup s'appliquer a toutes les variables

http://www.smarty.net/docsv2/fr/variable.default.modifiers.tpl


++
_________________
N'oubliez pas de mettre le tag "[Résolu]" sur vos post Smile
Back to top
View user's profile Send private message Send e-mail
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Sun Dec 12, 2010 3:06 pm    Post subject: Reply with quote

Merci,
Mais vous pouvez juste me montrer un exemple pour que je comprenne
J'ai fait quelque chose comme ça mais il ne fonctionne pas
Code:

<?php
require('../libs/Smarty.class.php');
$smarty = new Smarty;
$smarty->default_modifierss = array('strip_tags');
$test = ' <script type="text/javascript">
                        alert('Faille de sécurité');
                        </script>';
$smarty->assign('test', $test);
$smarty->display('test.tpl');
?>
Back to top
View user's profile Send private message Visit poster's website
Gowser
Smarty Pro


Joined: 19 Feb 2008
Posts: 104
Location: Nantes (France)

PostPosted: Sun Dec 12, 2010 9:20 pm    Post subject: Reply with quote

A oui effectivement, je viens de regarder la source du compiler et il n'effectue que le default_modifer sur les variables générées par smarty (comme dans les section, foreach, etc..., voir fonction "_compile_smarty_ref" ligne 1990 du fichier "Smarty_Compiler.class.php")

Pour palier alors à cela, le plus simple serait de redéfinir une fonction d'assignation des variables smarty :

Code:

<?php

// on etend smarty pour avoir les mêmes fonctionnalités
class SmartyExtend extends smarty{
   public function assign($name, $value = ''){
      if(!is_array($value) && !is_object($value)){
         $value = $this->escapeString($value);
      }
      
      parent::assign($name, $value);
   }
   
   private function escapeString($value){
      return htmlspecialchars($value);
   }
}
?>


Puis du coup utiliser cette classe a la place de la classe smarty standard (je te conseillerai de laisser le default_modifiers afin qu'il s'occupe des tableaux)
Code:

require('../libs/SmartyExtend.php');
$smarty = new SmartyExtend();
$smarty->default_modifiers = array('escape:"htmlall"');
$test = ' <script type="text/javascript">
                        alert('Faille de sécurité');
                        </script>';
$smarty->assign('test', $test);
$smarty->display('test.tpl');


++
_________________
N'oubliez pas de mettre le tag "[Résolu]" sur vos post Smile
Back to top
View user's profile Send private message Send e-mail
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Wed Dec 15, 2010 10:35 pm    Post subject: Reply with quote

Merci
Comme tu le montre sur ton exemple tu crée un nouveau fichier nomé "SmartyExtend.php" dans le répertoire /libs/
Alors je dois appeler les deux classes
Code:
<?php
require('../libs/SmartyExtend.php');
require('../libs/Smarty.class.php');


C'est bien ça ?
Encore merci beaucoup Very Happy
Back to top
View user's profile Send private message Visit poster's website
Gowser
Smarty Pro


Joined: 19 Feb 2008
Posts: 104
Location: Nantes (France)

PostPosted: Thu Dec 16, 2010 12:11 pm    Post subject: Reply with quote

Non j'ai directement fait l'include de smarty dans ce fichier (je ne l'ai pas copier coller car je l'avais rajouter après :p ) pour eviter de le faire a chaque fois
_________________
N'oubliez pas de mettre le tag "[Résolu]" sur vos post Smile
Back to top
View user's profile Send private message Send e-mail
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Thu Dec 16, 2010 8:15 pm    Post subject: Reply with quote

Ok,
Merci
C'est vrai que c'est mieux de faire l'include de Smarty.class.php dans SmartyExtend.php que de rajouter simplement le code dans la class Smarty.class.php pour éviter de faire à chaque fois la même manipulation après la mise à jour de Smarty
Back to top
View user's profile Send private message Visit poster's website
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Thu Dec 16, 2010 8:58 pm    Post subject: Reply with quote

Juste encore une dernière question
Peutx-tu me montrer comment le faire avec strip_tags
J'ai essayé mais il ne fonctionne pas Sad
Back to top
View user's profile Send private message Visit poster's website
Gowser
Smarty Pro


Joined: 19 Feb 2008
Posts: 104
Location: Nantes (France)

PostPosted: Fri Dec 17, 2010 6:23 pm    Post subject: Reply with quote

Tu n'as juste qu'à modifier le "htmlspecialchars" par le "strip_tag" :

Code:

<?php

require 'C:/wamp/www/gwmarket/lib/smarty/Smarty.class.php';

// on etend smarty pour avoir les mêmes fonctionnalités
class SmartyExtend extends smarty{
   public function assign($name, $value = ''){
      if(!is_array($value) && !is_object($value)){
         $value = $this->escapeString($value);
      }
      
      parent::assign($name, $value);
   }
   
   private function escapeString($value){
      return strip_tags($value);
   }
}


++
_________________
N'oubliez pas de mettre le tag "[Résolu]" sur vos post Smile
Back to top
View user's profile Send private message Send e-mail
laresistance2
Smarty Rookie


Joined: 29 Nov 2010
Posts: 23

PostPosted: Wed Feb 09, 2011 5:54 am    Post subject: Reply with quote

Re:
Désolé pour ce gros retard
Je voulais juste vous dire que j'obtiens cette erreur

Code:
Strict Standards: Declaration of SmartyExtend::assign() should be compatible with that of Smarty_Internal_Data::assign() in /var/www/monsite/lib/Smarty/SmartyExtend.class.php on line 4


P.S. j'ai la version 3.0.6
Back to top
View user's profile Send private message Visit poster's website
Display posts from previous:   
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    Smarty Forum Index -> Language: French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © 2001, 2005 phpBB Group
Protected by Anti-Spam ACP