J'utilise HTML Purifier (http://htmlpurifier.org/)
Je veux juste enlever <script> uniquement. Je ne veux pas supprimer la mise en forme en ligne ou toute autre chose.
Comment puis-je y parvenir ?
Une dernière chose : existe-t-il un autre moyen de supprimer les balises script du HTML ?
Parce que cette question est étiquetée avec regex Je vais répondre par la solution du pauvre dans cette situation :
$html = preg_replace('#<script(.*?)>(.*?)</script>#is', '', $html);Cependant, les expressions régulières ne servent pas à analyser le HTML/XML, même si vous écrivez la commande parfait expression qui finira par casser, cela ne vaut pas la peine, bien que, dans certains cas, il soit utile de corriger rapidement un balisage, et comme c'est le cas avec les corrections rapides, oubliez sécurité . N'utilisez les regex que sur le contenu/marquage auquel vous faites confiance.
Rappelez-vous, tout ce que l'utilisateur saisit doit être considéré pas sûr .
Meilleur La solution ici serait d'utiliser DOMDocument qui est conçu pour cela. Voici un extrait qui montre à quel point il est facile, propre (par rapport aux expressions rationnelles), (presque) fiable et (presque) sûr de faire la même chose :
<?php
$html = <<<HTML
...
HTML;
$dom = new DOMDocument();
$dom->loadHTML($html);
$script = $dom->getElementsByTagName('script');
$remove = [];
foreach($script as $item)
{
$remove[] = $item;
}
foreach ($remove as $item)
{
$item->parentNode->removeChild($item);
}
$html = $dom->saveHTML();J'ai supprimé le HTML intentionnellement car même celui-ci peut bork .
Bien que j'apprécie votre réponse distante, mon raisonnement pour désapprouver votre réponse est solide. Voir cette phrase pour une balise script qui contourne votre regex. En toute équité, on peut dire que c'est plus un défaut de votre expression régulière particulière qu'une raison d'abandonner complètement la regex. Mais, intéressant pour moi tout de même.
Utilisez l'application PHP DOMDocument parser.
$doc = new DOMDocument();
// load the HTML string we want to strip
$doc->loadHTML($html);
// get all the script tags
$script_tags = $doc->getElementsByTagName('script');
$length = $script_tags->length;
// for each tag, remove it from the DOM
for ($i = 0; $i < $length; $i++) {
$script_tags->item($i)->parentNode->removeChild($script_tags->item($i));
}
// get the HTML string back
$no_script_html_string = $doc->saveHTML();Cela a fonctionné pour moi en utilisant le document HTML suivant :
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>
hey
</title>
<script>
alert("hello");
</script>
</head>
<body>
hey
</body>
</html>Gardez à l'esprit que le DOMDocument nécessite PHP 5 ou plus.
+0 J'en ai marre d'entendre cette discussion sur les regex et le HTML. Dans un peu de Pour des occasions très spéciales, il est possible d'utiliser des expressions rationnelles. Dans mon cas, j'obtiens cette erreur : Warning: DOMDocument::loadHTML() [domdocument.loadhtml]: Tag myCustomTag invalid in Entity . J'ai tout essayé. Tout ce que je veux faire, c'est supprimer les balises script pour une toute petite partie de l'application ( sans de passer plus de temps dessus). Je vais utiliser preg_replace et c'est tout. Je ne veux plus rien entendre à ce sujet :)
Voir mon commentaire sur la meilleure réponse choisie. Je préférerais que les codeurs couvrent les cas généraux, car les utilisateurs malveillants peuvent être très malins. Toutefois, vous avez raison : dans le cadre du développement d'une application interne, par exemple, on pourrait considérer qu'il est acceptable d'ignorer ces vulnérabilités et d'utiliser des expressions rationnelles.
@Xeoncross Merci ! Je vais essayer la prochaine fois que j'aurai l'occasion de travailler sur ce projet. En ce moment, je suis occupé avec d'autres codes et je ne veux pas avoir à déterrer ces trucs :).
$html = <<<HTML
...
HTML;
$dom = new DOMDocument();
$dom->loadHTML($html);
$tags_to_remove = array('script','style','iframe','link');
foreach($tags_to_remove as $tag){
$element = $dom->getElementsByTagName($tag);
foreach($element as $item){
$item->parentNode->removeChild($item);
}
}
$html = $dom->saveHTML();
J'ai upvoted cette réponse parce que d'une part elle est propre et simple, et d'autre part elle m'a rappelé que les iframes pouvaient aussi me causer des problèmes.
De plus, je viens de réaliser que cela ajoute les balises doctype, html et body, ce qui est correct pour la question actuelle, mais ne l'était pas pour moi, mais je n'ai dû changer qu'une seule ligne (comme le dit le commentaire du haut de la page saveHTML php.net) : $dom->loadHTML($html,LIBXML_HTML_NOIMPLIED|LIBXML_HTML_NODEFDTD);
Un moyen simple de manipuler les chaînes de caractères.
$str = stripStr($str, '<script', '</script>');
function stripStr($str, $ini, $fin)
{
while(($pos = mb_stripos($str, $ini)) !== false)
{
$aux = mb_substr($str, $pos + mb_strlen($ini));
$str = mb_substr($str, 0, $pos).mb_substr($aux, mb_stripos($aux, $fin) + mb_strlen($fin));
}
return $str;
}
@Someone_who_likes_SE Oui, bien sûr. Vous pouvez utiliser stripos et substr au lieu de mb_stripos et mb_substr, mais je préfère utiliser les fonctions MB, elles sont plus fiables.
Tout cela est très bien, mais il y a un sérieux défaut ici. Attention, vous ne savez pas quelle entrée vous avez. Si $fin n'est pas dans $str (ou $aux), vous avez une boucle parfaite ici. Bon débogage ! Il y a plusieurs options pour modifier ce code afin de corriger cette faille. Je vous laisse le soin de le corriger.
le problème avec les flèches du tag script est qu'elles peuvent avoir plus d'une variante
ex. (< =
<=&lt;) & ( > =>=&gt;)
Ainsi, au lieu de créer un tableau de motifs avec un bazillion de variantes, je pense qu'une meilleure solution serait
return preg_replace('/script.*?\/script/ius', '', $text)
? preg_replace('/script.*?\/script/ius', '', $text)
: $text;cela supprimera tout ce qui ressemble à script.../script quel que soit le code de la flèche/variante et vous pouvez le tester ici. https://regex101.com/r/lK6vS8/1
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
3 votes
N'oubliez pas que les balises script ne sont pas les seules parties vulnérables du HTML.
0 votes
Oui, je sais qu'il y a d'autres parties vulnérables aussi, mais j'ai juste besoin d'enlever les balises script.
3 votes
Lire este . Il vous aidera à
4 votes
Jose, non. Lis ça. stackoverflow.com/questions/1732348/ pas de regex pour l'analyse du html
0 votes
Cette question a déjà été posée à plusieurs reprises, par exemple. aquí o aquí mais attention à que .
1 votes
@Rikudo Eh bien... s'il a besoin d'utiliser regexp pour supprimer les balises html... il doit y avoir une raison. Merci pour ce lien !
0 votes
Jose, la raison est que je ne suis pas familier avec d'autres outils plus performants. C'est exactement la même raison pour laquelle les gens utilisent toujours
mysql_*fonctions en php.0 votes
@Rikudo Sennin -- ou PHP du tout :)
0 votes
@Malvolio nahhh, c'est aller un peu trop loin maintenant :P
0 votes
@Rikudo L'utilisation de regex pour le parsing html a ses propres avantages et inconvénients. Son utilité dépend d'une situation particulière. Ne soyez pas si fanatique. Le monde est beaucoup plus complexe et la même règle ne peut pas être utilisée à toutes fins. Oui, dans de nombreux cas, regex n'est pas le meilleur outil pour l'analyse HTML, mais cela ne veut rien dire.
0 votes
Cependant, dans la plupart des cas, il est très inefficace et peu sûr d'utiliser une regex. Il est très problématique d'utiliser un analyseur syntaxique qui ne comprend pas la langue qu'il analyse. C'est pourquoi il existe spécifique Analyseurs HTML et XML.
0 votes
@Rikudo Vous essayez d'utiliser une seule règle pour tout :) Plus tard, vous verrez que tout n'est pas si simple.
0 votes
En ce qui concerne le débat entre analyseur html et regex - vous avez probablement besoin des deux ; sachez qu'un analyseur html ne reconnaîtra pas les commentaires conditionnels, ce qui signifie qu'IE rendra volontiers les balises script à l'intérieur. Le problème général pour résoudre ce problème de manière élégante est que les navigateurs s'en moquent...