13-04-2010, 12:58 PM
(12-04-2010, 07:09 PM)Sephi-Chan a écrit : Lors de mon précédent stage d'été, j'ai développé pour un site (d'un grand groupe de radio). Ils avaient un forum qu'ils ont voulu refondre partiellement (sans perdre le contenu des 2 années passées), on a ajouté des balises, on en a enlevé d'autres, on a modifié les attributs des balises, etc.C'est pour ça que nous, gros développeurs fainéants que nous sommes, avons inventé le BBCode afin de permettre des balises bien définies et autorisées pouvant passer à travers strip_tags() (ou autre). Leur exécution est totalement controlé.
Même si tu fournis des données à un service, tu vas filtrer (tout comme tu l'aurais fait si tu avais affiché les données sur le site).
On va donc filtrer a posteriori dans tous les cas. Quel est alors l'intérêt de le faire aussi a priori ? Mes questions ne sont pas des pièges ou autre : je cherche juste à comprendre l'intérêt d'une telle démarche.
Je ne suis pas totalement pour non plus car c'est ré-inventé la roue (ici le HTML) et c'est lourd mais c'est simple et efficace.
Cependant, si je suppose que je vais autoriser du HTML, je ne demande pas l'appel à strip_tags() ou alors je m'y prends autrement et j'autorise quelques balises HTML.
Cependant, je vois mal quelqu'un avoir une raison de mettre une balise HTML dans son pseudo ou autre...
Anciennement IGstaff.
Administrateur serveur & développeur web.
Mes sites: Je ne fais plus de site de jeu.
Autres sites: Staart V2, Cartman34 PWS, Anek.me
Administrateur serveur & développeur web.
Mes sites: Je ne fais plus de site de jeu.
Autres sites: Staart V2, Cartman34 PWS, Anek.me