defr/DualBlog: 464f4b94ee27 comment.php

defr/DualBlog

view comment.php @ 71:464f4b94ee27

Filtrage de certaines balises HTML, meilleure détection de la validité XML.

Plusieurs choses en une, toute tournant autour d'un meilleur traitement du
commentaire soumis:
- on utilise désormais stripslashes pour correctement gérer la valeur
d'éventuels arguments
- on filtre, via le DOM, les balises qui pourraient s'avérer peut sure, ou
être utilisé pour une attaque de type cross-site scripting. L'utilisation
de getElementsByTagName devrait se charger d'attaque du type <html:script
/> ou l'utilisateur utilise un namespace non standard pour déjouer une
comparaison de chaînes.

author	Franck Deroche <webmaster@defr.org>
date	Thu Mar 20 19:45:08 2008 +0100 (2008-03-20)
parents	d4f26e9767bf
children	217f56e6bc77

line source

1 <?php

2 require_once("classes.php");

3 $sk = Factory::getSkeleton();

4 $id = $_GET['id'];

5 $Data = Factory::getDB();

6 $Req = new Requete;

9 // Enregistrement éventuel d'un commentaire dans la base de données

10 $Auteur=$Req->get('Auteur');

11 $Adresse=$Req->get('Adresse');

12 $AdresseMail = $Req->get('AdresseMail');

13 $Comment=$Req->get('Comment');

14 $DateComment=gmdate("Y-m-d H:i:s", time() + 3600*2);

16 // Si on essaie d'ajouter un commentaire et que la graine n'est pas bonne

17 if(!empty($Comment) && $_SESSION['commentSeed'] != $Req->get('seed', null, 't'))

18 die("L'ajout de commentaire doit se faire à partir du formulaire de ce blog");

20 if(!is_null($Auteur) && $Auteur!='Votre Nom' && $Auteur != $Adresse && !empty($Comment) && strlen($Comment) > 6 && strpos($Comment, 'xanga') === false) {

21 // Prévention d'un "cassage" par ajout d'un commentaire incorrectement formaté

22 $ip = $_SERVER['REMOTE_ADDR'];

23 $Auteur = str_replace(array('<', '>'), array('<', '>'), $Auteur);

25 /* Akismet */

26 require_once('akismet.class.php');

27 $comment = array(

28 'author' => $Auteur,

29 'email' => $AdresseMail,

30 'website' => $Adresse,

31 'body' => $Comment,

32 'permalink' => 'http://defr.org/blog/posts/' . $id

33 );

34 $ak = new akismet('http://defr.org/blog', AKISMET_API_KEY, $comment);

35 if(!$ak->errorsExist())

36 $visibleBool = !$ak->isSpam();

38 // Suppression d'un gros lourd

39 $visibleBool &= (ereg('^ma[0-9]+zda$', $Auteur) === false);

40 $visible = $visibleBool ? 1 : 0;

42 $doc = @DOMDocument::loadXML('<comment>' . stripslashes($Comment) . '</comment>');

43 // Si le post est conforme XML, on recherche des balises indésirables

44 if($doc)

45 {

46 $bannedTags = array('script', 'object', 'iframe');

47 foreach($bannedTags as $tagName)

48 {

49 $nl = $doc->getElementsByTagName($tagName);

50 if($nl->length > 0)

51 {

52 $Comment = htmlspecialchars($Comment);

53 break;

54 }

55 }

56 }

57 // Sinon le post n'est pas conforme XML, on supprime toute balise

58 else

59 $Comment = htmlspecialchars($Comment);

61 $Data->debugQuery("

62 INSERT INTO Commentaires(MessId, Auteur, Adresse, AdresseMail, Comment, DateComment, ip, Visible)

63 VALUES({$id}, '{$Auteur}', '{$Adresse}', '{$AdresseMail}', '{$Comment}', '{$DateComment}', '{$ip}', $visible)

64 ");

65 $Data->Query("UPDATE Mess SET NbCommentaires=NbCommentaires+1 WHERE num_mess={$id}");

66 if($visibleBool)

67 mail(ADMIN_MAIL, 'Nouveau commentaire de ' . $Auteur, $Auteur . " vient de mettre en ligne le commentaire suivant: \n" . wordwrap($Comment, 70));

68 }

70 // Ajout du post au squelette

71 $Data->Query("SELECT * FROM Mess WHERE num_mess = {$id}");

72 $row = $Data->GetRow();

73 $post = new Post($row);

74 $sk->addBlogPost($post->format());

75 $sk->checkUpdateTime(strtotime($row['DatePost']));

77 // On définit le titre

78 $sk->setTitle($row['Titre'] . ' - Dual Blog');

80 // Récupération des commentaires

81 $Data->Query("SELECT * FROM Commentaires Where MessId={$id} AND Visible=1 ORDER BY num_comm");

82 $defaultGravatar = urlencode(BLOG_DEFAULT_GRAVATAR);

83 while(0 !== ($row = $Data->GetRow())) {

84 $commentTpl = new Template(Skeleton::getTemplateFile('comment'));

85 $dateFormatee = strftime(" à %Hh%M, le %A %d %B %Y", strtotime($row['DateComment']));

86 $dateFormateeISO = date('c', strtotime($row['DateComment']));

87 $AdresseMail = $row['AdresseMail'];

88 $grav_id = md5($AdresseMail);

89 $grav_url = 'http://www.gravatar.com/avatar.php?gravatar_id=' . $grav_id . '&size=50&default=' . $defaultGravatar;

90 $Comment = nl2br($row['Comment']);

91 $Comment = str_replace(" & ", " & ", $Comment);

92 $commentFrag = $commentTpl->getDocumentFragment();

93 $commentFrag->appendXML($Comment);

94 $params = array(

95 '#gravatar@src' => $grav_url,

96 '#auteur@href' => $post->getURL() . '#c' . $row['num_comm'],

97 '#auteur@name' => 'c' . $row['num_comm'],

98 '#auteur' => $row['Auteur'],

99 'commentDate' => $dateFormatee,

100 'commentDateISO' => $dateFormateeISO,

101 'commentNumber' => $row['num_comm'],

102 'comment' => $commentFrag,

103 );

104 if(stristr($row['Adresse'], 'http://')) {

105 $params['#auteur@href'] = $row['Adresse'];

106 }

107 $commentTpl->setParams(array_merge($post->getTplParams(), $params));

108 $sk->addBlogPost($commentTpl);

109 $sk->checkUpdateTime(strtotime($row['DateComment']));

110 }

111

112 // Génération de la graine (cette dernière permet de s'assurer

113 // que l'essai d'ajout de commentaire provient bien de ce

114 // formulaire, et en conséquence devrait permettre de réduire

115 // le spam.

116 $seed = md5(time() . 'DualBlog');

117 $_SESSION['commentSeed'] = $seed;

118

119 // Ajout du formulaire d'enregistrement de commentaires

120 $commentForm = new Template('commentForm.xml');

121 $commentForm->setParams(array('#Seed@value' => $seed));

122 $sk->setParams(array('commentForm' => $commentForm));

123

124 echo $sk;

125 ?>