Рейтинг@Mail.ru
 





Шаг 4

Ссылки, картинки и видео

Вот это самый ответственный момент в такого рода скриптах. Дело в том, что до сих пор мы меняли теги простой заменой, без регулярок. Это на все 100% дает уверенность, что ничего лишнего нам не подсунут. А вот для организации ссылок и картинок нужно в тег записать данные от юзера. А это уже опасно.

Чтобы понять на сколько, попробуйте запустить это:
1
2
3
<a href="javascript:alert(document.cookie)">Привет, XSS!</a>
и нажать на ссылку. Так можно украсть куки.

А по сему ни в коем случае нельзя дать возможность писать произвольный текст в href сылок и src картинок. Этот текст должен обязательно начинать с протоклов. Мы будем использовать два - HTTP и HTTPS.

Итак, нам нужно выдернуть из текста то, что находится в bb-тегах [url][/url] и поместить в HTML тег <a> Поможет сделать это функция preg_replace_callback() Она заменяет текст, соответствующий подмаске в первом аргументе на результат работы функции, переданной вторым аргументом. На практике это делается так:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php

/**   
* Функции генерации ссылок
* @param array $match 
* @return string 
*/ 
    
    
function createLink($match)
    {  
        
$match[2] = str_replace("\n"""$match[2]);
        return 
'<a href="http'$match[1] .'://'htmlspecialchars($match[2]) 
             .
'" target="_blanck" >'
htmlspecialchars($match[2]) .'</a>'
    }
    
    
$text '[url]http://irbis-team.com[/url]';
    echo 
preg_replace_callback('#\[url\]http(s*)://(.+?)\[/url\]#si''createLink'$text);    


Тут мы сочинили функцию и передали в неё то, что соответствует регулярному выражению. А соответствует ему все, что находится между тегами [url][/url] и начинается либо с http://, либо с https://. Все остальное пропускаем без изменений обычным текстом.

Для красоты можно сделать еще одну регулярку, чтобы можно было писать красивые ссылки плана
[url=http://irbis-team.com]ссылка[/url].
Для этого нужна еще одна функция. Ну а за одно уже сделаем тоже самое с картинками и видео. Кроме того, сделаем этот функционал опциональным, то есть отключаемым. Мало ли, может нам есть необходимость запретить ссылки или картинки. В конфигу добавим управляющие элементы, а за одно и еще разных тегов:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
<?php


/**
* Конфигурационный файл интерпретатора BB-тегов
*/
/////////////////////////////////////////////////////////////////////////


    // Путь до корня скрипта
    
define('IRB_BB_PATH''http://'$_SERVER['HTTP_HOST']); 

    
$configBBcode = array(
                           
// Максимальная длина слова
                          
'max_len'      => 80,
                            
                          
// Распознование ссылок                            
                          
'links'        => true,
                            
                          
// Распознование картинок                            
                          
'images'       => true,
                          
                          
// Распознование видео                            
                          
'video'        => true,
                                                                                                               
            
// Парные BB-теги
             
'setup_bb'    => array(
                                       
'[b]'                =>   '[/b]',
                                       
'[i]'                =>   '[/i]',
                                       
'[s]'                =>   '[/s]',
                                       
'[u]'                =>   '[/u]',
                                       
'[sub]'              =>   '[/sub]',
                                       
'[sup]'              =>   '[/sup]',
                                       
'[justify]'          =>   '[/justify]',
                                       
'[left]'             =>   '[/left]',                                       
                                       
'[right]'            =>   '[/right]',
                                       
'[center]'           =>   '[/center]',
                                       
'[quote]'            =>   '[/quote]',
                                       
'[list=ol]'          =>   '[/list=ol]',
                                       
'[list=ul]'          =>   '[/list=ul]',
                                       
'[*]'                =>   '[/*]',
                                       
'[size=1]'           =>   '[/size=1]',
                                       
'[size=2]'           =>   '[/size=2]'
                                       
'[size=3]'           =>   '[/size=3]'
                                       
'[size=4]'           =>   '[/size=4]'
                                       
'[size=5]'           =>   '[/size=5]'
                                       
'[h=5]'              =>   '[/h=5]',
                                       
'[h=4]'              =>   '[/h=4]'
                                       
'[h=3]'              =>   '[/h=3]'
                                       
'[h=2]'              =>   '[/h=2]'
                                       
'[h=1]'              =>   '[/h=1]',
                                       
'[color=gray]'       =>   '[/color=gray]',
                                       
'[color=green]'      =>   '[/color=green]',
                                       
'[color=purple]'     =>   '[/color=purple]',
                                       
'[color=olive]'      =>   '[/color=olive]',
                                       
'[color=silver]'     =>   '[/color=silver]',
                                       
'[color=aqua]'       =>   '[/color=aqua]',
                                       
'[color=yellow]'     =>   '[/color=yellow]',
                                       
'[color=blue]'       =>   '[/color=blue]',
                                       
'[color=orange]'     =>   '[/color=orange]',
                                       
'[color=red]'        =>   '[/color=red]',                                       

                                    ),
                                                 
             
// Парные HTML-теги (на них заменяются теги из предыдущего массива)                     
             
'setup_html'  => array(
                                  
'<b>'                                      =>   '</b>',
                                  
'<i>'                                      =>   '</i>',
                                  
'<s>'                                      =>   '</s>',
                                  
'<u>'                                      =>   '</u>',
                                  
'<sub>'                                    =>   '</sub>'
                                  
'<sup>'                                    =>   '</sup>'
                                  
'<p align="justify">'                      =>   '</p>'
                                  
'<p align="left">'                         =>   '</p>'
                                  
'<p align="right">'                        =>   '</p>'
                                  
'<p align="center">'                       =>   '</p>',
                                  
'<p class="quote"><b>цитата:</b><br />'    =>   '</p>',
                                  
'<ol>'                                     =>   '</ol>',
                                  
'<ul>'                                     =>   '</ul>'
                                  
'<li>'                                     =>   '</li>',
                                  
'<span style="font-size:11px">'            =>   '</span>',
                                  
'<span style="font-size:14px">'            =>   '</span>',
                                  
'<span style="font-size:18px">'            =>   '</span>',
                                  
'<span style="font-size:24px">'            =>   '</span>',
                                  
'<span style="font-size:32px">'            =>   '</span>',
                                  
'<h5>'                                     =>   '</h5>',
                                  
'<h4>'                                     =>   '</h4>'
                                  
'<h3>'                                     =>   '</h3>',
                                  
'<h2>'                                     =>   '</h2>',
                                  
'<h1>'                                     =>   '</h1>',
                                  
'<span style="color:gray">'                =>   '</span>',
                                  
'<span style="color:green">'               =>   '</span>',
                                  
'<span style="color:purple">'              =>   '</span>',
                                  
'<span style="color:olive">'               =>   '</span>',
                                  
'<span style="color:silver">'              =>   '</span>',
                                  
'<span style="color:aqua">'                =>   '</span>',
                                  
'<span style="color:yellow">'              =>   '</span>',
                                  
'<span style="color:blue">'                =>   '</span>',
                                  
'<span style="color:orange">'              =>   '</span>',
                                  
'<span style="color:red">'                 =>   '</span>',
                                ), 
         
                                                                   
             
// Непарные теги (смайлики и иже с ними)                       
             
'single_tags' => array(
                                      
'[:)]'     =>   '<img src="'IRB_BB_PATH .'/smiles/1.gif" />',
                                      
'[:(]'     =>   '<img src="'IRB_BB_PATH .'/smiles/2.gif" />',
                                      
'[;)]'     =>   '<img src="'IRB_BB_PATH .'/smiles/3.gif" />',
                                      
'[:D]'     =>   '<img src="'IRB_BB_PATH .'/smiles/4.gif" />',
                                   ),
                                                     
/** 
Массивы символов замены. Для корректной обработки теги нужно заменить на
одиночные символы, иначе можно порвать тег. Количество символов должно соответствовать количеству тегов.
Используются редко используемые символы 
*/
    
        // Открывающие теги
                
'tmp_open'   => array(
                                       
'ᐁ''ᐂ''ᐃ''ᐄ''ᐅ''ᐆ''ᐇ''ᐉ''ᐊ''ᐋ'
                                       
'ᐌ''ᐍ''ᐎ''ᐏ''ᐐ''ᐑ''ᐒ''ᐓ''ᐔ''ᐕ'
                                       
'ᐫ''ᐬ''ᐭ''ᐮ''ᐯ''ᐰ''ᐱ''ᐲ''ᐳ''ᐴ'
                                       
'ᐵ''ᐷ''ᐸ''ᐹ''ᐺ''ᐻ''ᐼ''ᐽ''ᐾ''ᐿ'
                                       
'ᑌ''ᑍ''ᑎ''ᑏ''ᑐ''ᑑ''ᑒ''ᑔ''ᑕ''ᑖ',

                                    ),                              
                           
        
// Закрывающие теги                  
                
'tmp_close'  => array(
                                        
                                       
'ᑗ''ᑘ''ᑙ''ᑚ''ᑛ''ᑜ''ᑝ''ᑞ''ᑟ''ᑠ',  
                                       
'ᑡ''ᑢ''ᑣ''ᑤ''ᑥ''ᑧ''ᑨ''ᑩ''ᑪ''ᑫ',
                                       
'ᑬ''ᑭ''ᑮ''ᑯ''ᑰ''ᑱ''ᑲ''ᑳ''ᑴ''ᑵ'
                                       
'ᑶ''ᑷ''ᑸ''ᑹ''ᑺ''ᑻ''ᑼ''ᑽ''ᑾ''ᑿ'
                                       
'ᒀ''ᒁ''ᒂ''ᒌ''ᒍ''ᒎ''ᒏ''ᒐ''ᒑ''ᒒ',

                                    ),                            
        
// Одиночные теги                                  
                
'tmp_single' => array(                  
                                       
'ᒓ''ᒔ''ᒕ''ᒖ''ᒗ''ᒘ''ᒙ''ᒚ''ᒛ''ᒜ'
                                       
'ᒝ''ᒞ''ᒟ''ᒠ''ᒣ''ᒤ''ᒥ''ᒦ''ᒧ''ᒨ'
                                       
'ᒩ''ᒪ''ᒫ''ᒬ''ᒭ''ᒮ''ᒯ''ᒰ''ᒱ''ᒲ'
                                       
'ᒳ''ᒴ''ᒵ''ᒶ''ᒷ''ᒸ''ᒹ''ᒺ''ᓀ''ᓁ'
                                       
'ᓂ''ᓃ''ᓄ''ᓅ''ᓆ''ᓇ''ᓈ''ᓉ''ᓊ''ᓋ'
                                    ),
                     );


А вот так теперь будет смотреться скрипт:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
<?php

// Конфига
    
include './config.php';

/**   
* Основная функция интерпретатора
* @param string $text   //обрабатываемый текст
* @return string 
*/   
    
function createBBtags($text$replace true)
    {   
// Разбираем конфигурционный массив в текущую таблицу переменных
        
global $configBBcode;
        
extract($configBBcode);
// Разбираем полученные массивы на массивы элементов            
        
$bb_open      array_keys($setup_bb);
        
$bb_close     array_values($setup_bb);                                                        
        
$html_open    array_keys($setup_html);
        
$html_close   array_values($setup_html);
        
$bb_single    array_keys($single_tags);
        
$html_single  array_values($single_tags);
        
    
//  Oчистим текст от иероглифов
        
$text str_replace($tmp_open''$text);
        
$text str_replace($tmp_close''$text);
        
$text str_replace($tmp_single''$text);
                  
        
$text str_replace("\r"""$text);
        
$text str_replace("\t""    "$text);
        
/** 
Если режим очистки - 
удаляем бб-теги из текста
*/                 
    
if(!$replace)
    {              
        
$text str_replace($bb_open''$text);
        
$text str_replace($bb_close''$text);
        
$text str_replace($bb_single''$text);
        
$text preg_replace('#\\[(code|url|img|video)[^\s]*?\].*?\[/\\1\]#usi'''$text);
    }
    else
    {        
/** 
Если включен режим bb-тегов, 
заменим заявленные теги на одиночные символы и дальше по тексту 
Используется функция str_ireplace(), чтобы BB-теги были регистронезависимыми
*/ 

                   
        
$text str_ireplace($bb_open$tmp_open$text);
        
$text str_ireplace($bb_close$tmp_close$text);
        
$text str_ireplace($bb_single$tmp_single$text);   
/** 
Начинается разбор полетов. Сначала уничтожаем пустые теги.
Тут же за одно считаем, сколько открывающих и сколько закрывающих
*/ 
        
$open_cnt = array();
   
        foreach(
$tmp_open as $k => $v)
        {
           
$text preg_replace("#"$v ."\s*?"$tmp_close[$k] ."#us"""$text);
           
$cnt substr_count($text$v);
           
           if(
$cnt 0)
           {
               
$open_cnt[$v] = $cnt;
               
$close_cnt[$v] = substr_count($text$tmp_close[$k]);
           }              
        }
        
/** 
Дальше уничтожаем непарные теги
Регулярка составлена так, что удаляет последний заявленный символ
Это дает возможность удалить незакрытые теги с конца текста,
не трогая закрытые.
*/     
        
foreach($open_cnt as $k => $v)
        {
                
            if(
$v $close_cnt[$k])
            {
                for(
$i 0$i $v $close_cnt[$k]; ++$i)
                    
$text preg_replace('#'$k .'(?!.*'$k .')#us'''$text);
            }
        
        }
    }             
// Обрабатываем текст        
        
$text mBwordwrap($text100);                 
        
$text htmlspecialchars($text);   
        
        
//Обработка ссылок. Пройдут только те, которые начинаются с http:// и https:// и не содержат пробелов        
        
if($links)
        {                   
            
$text preg_replace_callback('#\[url=http(s*)://([^\] ]+?)\](.+?)\[/url\]#si''createLink1'$text);
            
$text preg_replace_callback('#\[url\]http(s*)://(.+?)\[/url\]#si''createLink2'$text);
        }    
        
//Картинки. Тоже http:// и без пробелов. На вс. случай запретим GET параметры      
        
if($images)    
            
$text preg_replace_callback('#\[img\]http://([^\] \?]+?)\[/img\]#si''createImg'$text); 
            
        
//Видео. Та же песня      
        
if($video)    
            
$text preg_replace_callback('#\[video\]http://([^\] \?]+?).flv\[/video\]#si''createSwf'$text);         
             
/** 
Если включен режим bb-тегов,
меняем обратно временные символы на HTML теги
*/    
    
if($replace)
    {       
        
$text str_replace($tmp_open$html_open$text);
        
$text str_replace($tmp_close$html_close$text);
        
$text str_replace($tmp_single$html_single$text);
    }        
// Сохраняем оригинальное форматирование                
        
$text str_replace('  ''&nbsp;&nbsp;'$text);    
        
$text nl2br($text);
// За ушкО на солнышкО                       
        
return $text;            
    } 
    
 
/**   
* Функция - аналог wordwrap()  для кодировки UTF-8
* @param string $str  //обрабатываеемая строка
* @param int $width     //максимальная длина слова
* @param string $break //разделитель
* @return string  
*/ 
           
    
function mBwordwrap($text$width 90$break "\n")
    {
       return 
preg_replace('#([^\s]{'$width .'})#u''$1'$break $text);
    }  

/**   
* Функции генерации ссылок
* @param array $match 
* @return string 
*/ 
    
    
function createLink1($match)
    {  
        
$match[2] = str_replace("\n"""$match[2]);
        return 
'<a href="http'$match[1] .'://'htmlspecialchars($match[2]) 
             .
'" target="_blanck" >'
htmlspecialchars($match[3]) .'</a>';
    }
    
    function 
createLink2($match)
    {  
        
$match[2] = str_replace("\n"""$match[2]);
        return 
'<a href="http'$match[1] .'://'htmlspecialchars($match[2]) 
             .
'" target="_blanck" >'
htmlspecialchars($match[2]) .'</a>'
    }

/**   
* Функция генерации картинок
* @param array $match 
* @return string 
*/
        
    
function createImg($match)
    {  
        
$match[1] = str_replace("\n"""$match[1]);
        return 
'<img src="http://'
htmlspecialchars($match[1]) .'" border="0" />'
    }
    
/**   
* Функция генерации видеоролика
* @param array $match 
* @return string 
*/
        
    
function createSwf($match)
    {  
        
$match[1] = str_replace("\n"""$match[1]);
        return  
'<center><object type="application/x-shockwave-flash" data="'
              
IRB_BB_PATH .'/images/video.swf" height="300" width="400">'
              
'<param name="bgcolor" value="#333333" /><param name="allowFullScreen" value="true" />'
              
'<param name="allowScriptAccess" value="always" />'
              
'<param name="movie" value="'
              
IRB_BB_PATH .'/images/video.swf" />'
              
'<param name="FlashVars" value="way=http://'
              
htmlspecialchars($match[1]) .'.flv&amp;swf='
              
IRB_BB_PATH .'/images/video.swf&amp;w=400&amp;h=300&amp;'
              
'pic=http://&amp;autoplay=0&amp;tools=1&amp;'
              
'skin=white&amp;volume=70&amp;q=&amp;comment=" />'
              
'</object></center>';
    }    
/////////////////////////////////////////////////////////////////////
   
    
if(!empty($_POST['ok']))    
    {     
        
$text = !empty($_POST['text']) ? $_POST['text'] : null;
        
$check createBBtags($textfalse);
        
        if(empty(
$check))
            echo 
'Нет текста';
        else         
            echo 
createBBtags($text);
    }
    
    
?>
<form action="" name="post" id="post" method="post">        
<textarea name="text" id="text" cols="40" rows="10"><?php echo htmlspecialchars($text);?></textarea><br />    
<input name="ok" type="submit" />    
</form>


Обратите внимание, что мы так же в настройки вытащили максимальную длину слова, которую будем передавать вторым аргументом в mBwordwrap(), а так же на проверку пустых тегов, которая использует функцию в режиме очистки.

Ну вот такой скрипт уже не стыдно поставить на сайт. И красиво и безопасно.

В следующем разделе мы сделаем его еще красивее.