Mise en forme description

Quand on modifie les options, la description est transcrite directe depuis le code HTML vers le formulaire, donc on voit apparaître les balises <br/>, en plus des sauts de lignes.

Quand on accepte la modification des options, les balises HTML dans notre description ne sont pas supprimée, mais les sauts de lignes sont complété par une balise <br />.

Du coup après plusieurs modifications successives des options, les sauts de lignes sont multipliés, comme les pains.

En plus, le fait de laisser les balises HTML m'inquiète : t'as fait gaffe à empêcher les attaques par inoculation de javascript ? Parce que si tu laisse les balises HTML, y compris le Java Script, un pirate pourrait inclure un code Javascript malveillant qui infecterait les gens qui regard la description... (bon, on est dans une bêta fermée, donc c'est peu risqué pour l'instant, et moi personnellement, je connais le principe, mais j'ai jamais essayé. d'ailleurs je dis peut-être des bêtises.).

A mon avis, il est très difficile de faire ce que tu dis. Autant en SQL on peut vraiment faire des choses très gênantes, autant en JS je vois pas ce que tu peux faire comme attaque.

Cela dit c'est une excellente remarque, et j'ai une solution pas trop compliquée pour bloquer ça.

Par des injections SQL, on peut attaquer le site. Par des injections Javascript, on peut attaquer les utilisateurs (par exemple en redirigeant l'utilisateur vers un lien qui fait télécharger un troyan). J'ai pas vraiment l'impression que ce soit difficile :

Code:

<SCRIPT LANGUAGE="JavaScript">
    document.location.href="http://www.monmechantsite.com"
</SCRIPT>

En gros, faut filtrer tout ce qu'un utilisateur peut ajouter comme contenu sur ton site. Tu devrais checker les historiques, aussi, et tout. Normalement c'est assez simple à faire, tous les sites le font.

en fait, j'ai une solution simple, il me suffit de supprimer certaines chaines de caractères genre "script". A priori ça doit empêcher les attaques par JS.

C'est vrai que j'avais uniquement vu le point de vue du site, qui me parait difficilement attaquable par JS, mais que ça peut emmerder le joueur. De toute façon dès que je vois un endroit où ça peut poser problème, je vire le mot "script". J'en ai surement oublié, mais au fur et à mesure ils devraient disparaitre tous.

Pourquoi tu fais pas une fonction avec une expression régulière qui ne laisse passer que certaines balises HTML ? (si tu veux garder les balises)

Genre : <br/>, <p> et </p>...
Fonction que tu appliques à toutes les chaînes entrées dans le site. Moi c'est ce que je faisais sur le site du FOG : au moins t'es sûr de pas avoir de vulnérabilité de ce point de vue là.

L'autre solution est de virer toutes les balises HTML, tu te fais pas chier : tu devrais trouver des fonctions qui font ça en cherchant sur google.

Ou tu pioche la fonction qui permet de poster sur le forum du site, et tu la "nettoie" des fonctionnaltiés inutiles.

N'oublie pas non plus le FA.

Arg ! Tu viens d'utiliser les mots "expression régulière", mon urticaire revient

Non sérieusement, c'est une bonne idée. Je pense plutôt restreindre certaines balises qu'autoriser certaines, autant ne pas bloquer les utilisateurs par défaut.

Ben justement, le principe de base de la sécurité, c'est autant bloqué l'utilisateur par défaut.

c'est mathématique :

Infinité de possibilité = infinité de faille potentielle.

Zéro possibilité = Zéro failles potentielles.

Donc il vaut mieux autoriser ce qui semble nécessaire et utile, et si les utilisateurs demandent "pourquoi je peux pas mettre de balise <machin>" tu réponds : parce que !"
Et eventuellement tu rajoutes la balise machin.

A moins que tu ai une connaissance exhaustive du HTML et de l'évolution future de ses fonctionnalités...

Je sens qu'il va falloir bosser à plusieurs sur le code...

Je déteste la sécurité.

La sécurité, ça sert globalement à emmerder l'utilisateur au jour le jour pour arriver trop tard en cas de problème. Un peu comme les anti-virus

Cela dit, je ne remet pas en cause la nécessité de la modification dont tu parles, et je veux bien la faire dans le sens "classique" de la sécurité.
On verra bien si les joueurs se plaignent

En même temps, y a pas des masses d'utilisateurs qui connaissent le HTML, donc autant leur laisser le format texte de base, qu'ils maîtrisent parfaitement.