b2evolution

Multilingual multiuser multiblog engine

Home About Demo Download Hosting Extend Docs Support
b2evolution Technical Documentation (0.9.x) [ class tree: evocore ] [ index: evocore ] [ all elements ]

Source for file _class_htmlchecker.php

Documentation is available at _class_htmlchecker.php

  1. <?php
  2. /**
  3.  * SafeHtmlChecker
  4.  *
  5.  * checks HTML against a subset of elements to ensure safety and XHTML validation.
  6.  *
  7.  * b2evolution - {@link http://b2evolution.net/}
  8.  * Released under GNU GPL License - {@link http://b2evolution.net/about/license.html}
  9.  * @copyright (c)2003-2005 by Francois PLANQUE - {@link http://fplanque.net/}
  10.  *
  11.  * @package evocore
  12.  * @author Simon Willison, 23rd Feb 2003, modified by fplanque, sakichan
  13.  */
  14. if!defined('DB_USER') ) die'Please, do not access this page directly.' );
  15.  
  16. /**
  17.  * SafeHtmlChecker
  18.  *
  19.  * checks HTML against a subset of elements to ensure safety and XHTML validation.
  20.  *
  21.  * @package evocore
  22.  */
  23. class SafeHtmlChecker
  24. {
  25.     var $tags;      // Array showing allowed attributes for tags
  26.     var $tagattrs;  // Array showing URI attributes
  27.     var $uri_attrs;
  28.     var $allowed_uri_scheme;
  29.  
  30.     // Internal variables
  31.     var $parser;
  32.     var $stack = array();
  33.     var $last_checked_pos;
  34.     var $error;
  35.  
  36.     /**
  37.      * Constructor
  38.      *
  39.      * {@internal This gets tested in _libs.misc.simpletest.php}}
  40.      *
  41.      * @param array 
  42.      * @param array 
  43.      * @param array 
  44.      * @param array 
  45.      * @param string Input encoding to use ('ISO-8859-1', 'UTF-8', 'US-ASCII' or '' for auto-detect)
  46.      */
  47.     function SafeHtmlChecker$allowed_tags$allowed_attributes$uri_attrs$allowed_uri_scheme$encoding '' )
  48.     {
  49.         $this->tags = $allowed_tags;
  50.         $this->tagattrs = $allowed_attributes;
  51.         $this->uri_attrs = $uri_attrs;
  52.         $this->allowed_uri_scheme = $allowed_uri_scheme;
  53.  
  54.  
  55.         $encoding strtoupper($encoding)// we might get 'iso-8859-1' for example
  56.         $this->encoding $encoding;
  57.         ifin_array$encodingarray'ISO-8859-1''UTF-8''US-ASCII' ) ) )
  58.         // passed encoding not supported by xml_parser_create()
  59.             $this->xml_parser_encoding ''// auto-detect (in PHP4, in PHP5 anyway)
  60.         }
  61.         else
  62.         {
  63.             $this->xml_parser_encoding $this->encoding;
  64.         }
  65.         $this->parser = xml_parser_create$this->xml_parser_encoding );
  66.  
  67.         $this->last_checked_pos = 0;
  68.         $this->error = false;
  69.  
  70.         // Creates the parser
  71.         xml_set_object$this->parser$this);
  72.  
  73.         // set functions to call when a start or end tag is encountered
  74.         xml_set_element_handler($this->parser'tag_open''tag_close');
  75.         // set function to call for the actual data
  76.         xml_set_character_data_handler($this->parser'cdata');
  77.  
  78.         xml_set_default_handler($this->parser'default_handler');
  79.         xml_set_external_entity_ref_handler($this->parser'external_entity');
  80.         xml_set_unparsed_entity_decl_handler($this->parser'unparsed_entity');
  81.  
  82.         xml_parser_set_option($this->parserXML_OPTION_CASE_FOLDINGfalse);
  83.     }
  84.  
  85.     function default_handler$parser$data)
  86.     {
  87.         // echo 'default handler: '.$data.'<br />';
  88.     }
  89.  
  90.     function external_entity$parser$open_entity_names$base$system_id$public_id)
  91.     {
  92.         // echo 'external_entity<br />';
  93.     }
  94.  
  95.  
  96.     function unparsed_entity$parser$entity_name$base$system_id$public_id$notation_name)
  97.     {
  98.         // echo 'unparsed_entity<br />';
  99.     }
  100.  
  101.  
  102.     /**
  103.      * check(-)
  104.      */
  105.     function check($xhtml)
  106.     {
  107.         // Convert encoding:
  108.         ifempty($this->xml_parser_encoding|| $this->encoding != $this->xml_parser_encoding )
  109.         // we need to convert encoding:
  110.             iffunction_exists'mb_convert_encoding' ) )
  111.             // we can convert encoding to UTF-8
  112.                 $this->encoding 'UTF-8';
  113.  
  114.                 // Convert XHTML:
  115.                 $xhtml mb_convert_encoding$xhtml'UTF-8' );
  116.             }
  117.         }
  118.  
  119.         // Open comments or '<![CDATA[' are dangerous
  120.         $xhtml str_replace('<!'''$xhtml);
  121.  
  122.         // Convert isolated & chars
  123.         $xhtml preg_replace'#(\s)&(\s)#''\\1&amp;\\2'$xhtml );
  124.  
  125.         $xhtml_head '<?xml version="1.0"';
  126.         ifempty($this->encoding) )
  127.         {
  128.             $xhtml_head .= ' encoding="'.$this->encoding.'"';
  129.         }
  130.         $xhtml_head .= '?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">';
  131.  
  132.         $xhtml $xhtml_head.'<body>'.$xhtml.'</body>';
  133.  
  134.         if!xml_parse($this->parser$xhtml) )
  135.         {
  136.             $xml_error_code xml_get_error_code$this->parser );
  137.             $xml_error_string xml_error_string$xml_error_code );
  138.             switch$xml_error_code )
  139.             {
  140.                 case XML_ERROR_TAG_MISMATCH:
  141.                     $xml_error_string .= ': <code>'.$this->stack[count($this->stack)-1].'</code>';
  142.                     break;
  143.             }
  144.             $pos xml_get_current_byte_index($this->parser);
  145.             $xml_error_string .= ' near <code>'.htmlspecialcharssubstr$xhtml$this->last_checked_pos$pos-$this->last_checked_pos+20 ) ).'</code>';
  146.  
  147.             $this->html_errorT_('Parser error: ').$xml_error_string );
  148.         }
  149.     }
  150.  
  151.     /**
  152.      * tag_open(-)
  153.      *
  154.      * Called when the parser finds an opening tag
  155.      */
  156.     function tag_open($parser$tag$attrs)
  157.     {
  158.         // echo "processing tag: $tag <br />\n";
  159.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  160.  
  161.         if ($tag == 'body')
  162.         {
  163.             ifcount($this->stack)
  164.                 $this->html_errorT_('Tag <code>body</code> can only be used once!') );
  165.             $this->stack[$tag;
  166.             return;
  167.         }
  168.         $previous $this->stack[count($this->stack)-1];
  169.  
  170.         // If previous tag is illegal, no point in running tests
  171.         if (!in_array($previousarray_keys($this->tags))) {
  172.             $this->stack[$tag;
  173.             return;
  174.         }
  175.         // Is tag a legal tag?
  176.         if (!in_array($tagarray_keys($this->tags))) {
  177.             $this->html_errorT_('Illegal tag')": <code>$tag</code>);
  178.             $this->stack[$tag;
  179.             return;
  180.         }
  181.         // Is tag allowed in the current context?
  182.         if (!in_array($tagexplode(' '$this->tags[$previous]))) {
  183.             if ($previous == 'body'{
  184.                 $this->html_error(    sprintfT_('Tag %s must occur inside another tag')'<code>'.$tag.'</code>' ) );
  185.             else {
  186.                 $this->html_error(    sprintfT_('Tag %s is not allowed within tag %s')'<code>'.$tag.'</code>''<code>'.$previous.'</code>') );
  187.             }
  188.         }
  189.         // Are tag attributes valid?
  190.         foreach$attrs as $attr => $value )
  191.         {
  192.             if (!isset($this->tagattrs[$tag]|| !in_array($attrexplode(' '$this->tagattrs[$tag])))
  193.             {
  194.                 $this->html_errorsprintfT_('Tag %s may not have attribute %s')'<code>'.$tag.'</code>''<code>'.$attr.'</code>' ) );
  195.             }
  196.             if (in_array($attr$this->uri_attrs))
  197.             // Must this attribute be checked for URIs
  198.                 $matches array();
  199.                 $value trim($value);
  200.                 if$error validate_url$value$this->allowed_uri_scheme ) )
  201.                 {
  202.                     $this->html_errorT_('Found invalid URL: ').$error );
  203.                 }
  204.             }
  205.         }
  206.         // Set previous, used for checking nesting context rules
  207.         $this->stack[$tag;
  208.     }
  209.  
  210.     /**
  211.      * cdata(-)
  212.      */
  213.     function cdata($parser$cdata)
  214.     {
  215.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  216.  
  217.         // Simply check that the 'previous' tag allows CDATA
  218.         $previous $this->stack[count($this->stack)-1];
  219.         // If previous tag is illegal, no point in running test
  220.         if (!in_array($previousarray_keys($this->tags))) {
  221.             return;
  222.         }
  223.         if (trim($cdata!= ''{
  224.             if (!in_array('#PCDATA'explode(' '$this->tags[$previous]))) {
  225.                 $this->html_error(    sprintfT_('Tag %s may not contain raw character data')'<code>'.$previous.'</code>' ) );
  226.             }
  227.         }
  228.     }
  229.  
  230.     /**
  231.      * tag_close(-)
  232.      */
  233.     function tag_close($parser$tag)
  234.     {
  235.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  236.  
  237.         // Move back one up the stack
  238.         array_pop($this->stack);
  239.     }
  240.  
  241.     function html_error$string )
  242.     {
  243.         $this->error = true;
  244.         errors_add$string );
  245.     }
  246.  
  247.     /**
  248.      * isOK(-)
  249.      */
  250.     function isOK()
  251.     {
  252.         return $this->error;
  253.     }
  254.  
  255. }
  256.  
  257. ?>
evocore

Packages

main
admin
conf
evocore
evoskins
htsrv
install
plugins
xmlsrv

Documentation generated on Tue, 20 May 2008 01:53:02 +0200 by phpDocumentor 1.4.2