b2evolution

Multilingual multiuser multiblog engine

Home About Demo Download Hosting Extend Docs Support
b2evolution Technical Documentation (Version 1.9) [ class tree: evocore ] [ index: evocore ] [ all elements ]

Source for file _htmlchecker.class.php

Documentation is available at _htmlchecker.class.php

  1. <?php
  2. /**
  3.  * This file implements the SafeHtmlChecker class.
  4.  *
  5.  * Checks HTML against a subset of elements to ensure safety and XHTML validation.
  6.  *
  7.  * This file is part of the b2evolution/evocms project - {@link http://b2evolution.net/}.
  8.  * See also {@link http://sourceforge.net/projects/evocms/}.
  9.  *
  10.  * @copyright (c)2003-2006 by Francois PLANQUE - {@link http://fplanque.net/}.
  11.  *  Parts of this file are copyright (c)2003 by Nobuo SAKIYAMA - {@link http://www.sakichan.org/}
  12.  *  Parts of this file are copyright (c)2004-2005 by Daniel HAHLER - {@link http://thequod.de/contact}.
  13.  *
  14.  * @license http://b2evolution.net/about/license.html GNU General Public License (GPL)
  15.  *
  16.  *  {@internal Open Source relicensing agreement:
  17.  *  Daniel HAHLER grants Francois PLANQUE the right to license
  18.  *  Daniel HAHLER's contributions to this file and the b2evolution project
  19.  *  under any OSI approved OSS license (http://www.opensource.org/licenses/).
  20.  *  }}}
  21.  *
  22.  *  {@internal Origin:
  23.  *  This file was inspired by Simon Willison's SafeHtmlChecker released in
  24.  *  the public domain on 23rd Feb 2003.
  25.  *  {@link http://simon.incutio.com/code/php/SafeHtmlChecker.class.php.txt}
  26.  *  }}}
  27.  *
  28.  * @package evocore
  29.  *
  30.  *  {@internal Below is a list of authors who have contributed to design/coding of this file: }}
  31.  * @author blueyed: Daniel HAHLER.
  32.  * @author fplanque: Francois PLANQUE.
  33.  * @author sakichan: Nobuo SAKIYAMA.
  34.  * @author Simon Willison.
  35.  *
  36.  * @version $Id: _htmlchecker.class.php,v 1.8.2.4 2007/01/21 20:17:17 fplanque Exp $
  37.  */
  38. if!defined('EVO_MAIN_INIT') ) die'Please, do not access this page directly.' );
  39.  
  40. /**
  41.  * SafeHtmlChecker
  42.  *
  43.  * checks HTML against a subset of elements to ensure safety and XHTML validation.
  44.  *
  45.  * @package evocore
  46.  */
  47. class SafeHtmlChecker
  48. {
  49.     var $tags;      // Array showing allowed attributes for tags
  50.     var $tagattrs;  // Array showing URI attributes
  51.     var $uri_attrs;
  52.     var $allowed_uri_scheme;
  53.  
  54.     // Internal variables
  55.     var $parser;
  56.     var $stack = array();
  57.     var $last_checked_pos;
  58.     var $error;
  59.  
  60.     /**
  61.      * Constructor
  62.      *
  63.      * {@internal This gets tested in _libs.misc.simpletest.php}}
  64.      *
  65.      * @param array 
  66.      * @param array 
  67.      * @param array 
  68.      * @param array 
  69.      * @param string Input encoding to use ('ISO-8859-1', 'UTF-8', 'US-ASCII' or '' for auto-detect)
  70.      */
  71.     function SafeHtmlChecker$allowed_tags$allowed_attributes$uri_attrs$allowed_uri_scheme$encoding '' )
  72.     {
  73.         $this->tags = $allowed_tags;
  74.         $this->tagattrs = $allowed_attributes;
  75.         $this->uri_attrs = $uri_attrs;
  76.         $this->allowed_uri_scheme = $allowed_uri_scheme;
  77.  
  78.  
  79.         $encoding strtoupper($encoding)// we might get 'iso-8859-1' for example
  80.         $this->encoding $encoding;
  81.         ifin_array$encodingarray'ISO-8859-1''UTF-8''US-ASCII' ) ) )
  82.         // passed encoding not supported by xml_parser_create()
  83.             $this->xml_parser_encoding ''// auto-detect (in PHP4, in PHP5 anyway)
  84.         }
  85.         else
  86.         {
  87.             $this->xml_parser_encoding $this->encoding;
  88.         }
  89.         $this->parser = xml_parser_create$this->xml_parser_encoding );
  90.  
  91.         $this->last_checked_pos = 0;
  92.         $this->error = false;
  93.  
  94.         // Creates the parser
  95.         xml_set_object$this->parser$this);
  96.  
  97.         // set functions to call when a start or end tag is encountered
  98.         xml_set_element_handler($this->parser'tag_open''tag_close');
  99.         // set function to call for the actual data
  100.         xml_set_character_data_handler($this->parser'cdata');
  101.  
  102.         xml_set_default_handler($this->parser'default_handler');
  103.         xml_set_external_entity_ref_handler($this->parser'external_entity');
  104.         xml_set_unparsed_entity_decl_handler($this->parser'unparsed_entity');
  105.  
  106.         xml_parser_set_option($this->parserXML_OPTION_CASE_FOLDINGfalse);
  107.     }
  108.  
  109.     function default_handler$parser$data)
  110.     {
  111.         // echo 'default handler: '.$data.'<br />';
  112.     }
  113.  
  114.     function external_entity$parser$open_entity_names$base$system_id$public_id)
  115.     {
  116.         // echo 'external_entity<br />';
  117.     }
  118.  
  119.  
  120.     function unparsed_entity$parser$entity_name$base$system_id$public_id$notation_name)
  121.     {
  122.         // echo 'unparsed_entity<br />';
  123.     }
  124.  
  125.  
  126.     /**
  127.      * check(-)
  128.      */
  129.     function check($xhtml)
  130.     {
  131.         // Convert encoding:
  132.         ifempty($this->xml_parser_encoding|| $this->encoding != $this->xml_parser_encoding )
  133.         // we need to convert encoding:
  134.             iffunction_exists'mb_convert_encoding' ) )
  135.             // we can convert encoding to UTF-8
  136.                 $this->encoding 'UTF-8';
  137.  
  138.                 // Convert XHTML:
  139.                 $xhtml mb_convert_encoding$xhtml'UTF-8' );
  140.             }
  141.             elseif( ($this->encoding == 'ISO-8859-1' || empty($this->encoding)) && function_exists('utf8_encode') )
  142.             {
  143.                 $this->encoding 'UTF-8';
  144.  
  145.                 $xhtml utf8_encode$xhtml );
  146.             }
  147.         }
  148.  
  149.         // Open comments or '<![CDATA[' are dangerous
  150.         $xhtml str_replace('<!'''$xhtml);
  151.  
  152.         // Convert isolated & chars
  153.         $xhtml preg_replace'#(\s)&(\s)#''\\1&amp;\\2'$xhtml );
  154.  
  155.         $xhtml_head '<?xml version="1.0"';
  156.         ifempty($this->encoding) )
  157.         {
  158.             $xhtml_head .= ' encoding="'.$this->encoding.'"';
  159.         }
  160.         $xhtml_head .= '?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">';
  161.  
  162.         $xhtml $xhtml_head.'<body>'.$xhtml.'</body>';
  163.  
  164.         if!xml_parse($this->parser$xhtml) )
  165.         {
  166.             $xml_error_code xml_get_error_code$this->parser );
  167.             $xml_error_string xml_error_string$xml_error_code );
  168.             switch$xml_error_code )
  169.             {
  170.                 case XML_ERROR_TAG_MISMATCH:
  171.                     $xml_error_string .= ': <code>'.$this->stack[count($this->stack)-1].'</code>';
  172.                     break;
  173.             }
  174.             $pos xml_get_current_byte_index($this->parser);
  175.             $xml_error_string .= ' near <code>'.htmlspecialcharssubstr$xhtml$this->last_checked_pos$pos-$this->last_checked_pos+20 ) ).'</code>';
  176.  
  177.             $this->html_errorT_('Parser error: ').$xml_error_string );
  178.         }
  179.     }
  180.  
  181.     /**
  182.      * tag_open(-)
  183.      *
  184.      * Called when the parser finds an opening tag
  185.      */
  186.     function tag_open($parser$tag$attrs)
  187.     {
  188.         // echo "processing tag: $tag <br />\n";
  189.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  190.  
  191.         if ($tag == 'body')
  192.         {
  193.             ifcount($this->stack)
  194.                 $this->html_errorT_('Tag <code>body</code> can only be used once!') );
  195.             $this->stack[$tag;
  196.             return;
  197.         }
  198.         $previous $this->stack[count($this->stack)-1];
  199.  
  200.         // If previous tag is illegal, no point in running tests
  201.         if (!in_array($previousarray_keys($this->tags))) {
  202.             $this->stack[$tag;
  203.             return;
  204.         }
  205.         // Is tag a legal tag?
  206.         if (!in_array($tagarray_keys($this->tags))) {
  207.             $this->html_errorT_('Illegal tag')": <code>$tag</code>);
  208.             $this->stack[$tag;
  209.             return;
  210.         }
  211.         // Is tag allowed in the current context?
  212.         if (!in_array($tagexplode(' '$this->tags[$previous]))) {
  213.             if ($previous == 'body'{
  214.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; must occur inside another tag')'<code>'.$tag.'</code>' ) );
  215.             else {
  216.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; is not allowed within tag &lt;%s&gt;')'<code>'.$tag.'</code>''<code>'.$previous.'</code>') );
  217.             }
  218.         }
  219.         // Are tag attributes valid?
  220.         foreach$attrs as $attr => $value )
  221.         {
  222.             if (!isset($this->tagattrs[$tag]|| !in_array($attrexplode(' '$this->tagattrs[$tag])))
  223.             {
  224.                 $this->html_errorsprintfT_('Tag &lt;%s&gt; may not have attribute %s')'<code>'.$tag.'</code>''<code>'.$attr.'</code>' ) );
  225.             }
  226.             if (in_array($attr$this->uri_attrs))
  227.             // Must this attribute be checked for URIs
  228.                 $matches array();
  229.                 $value trim($value);
  230.                 if$error validate_url$value$this->allowed_uri_scheme ) )
  231.                 {
  232.                     $this->html_errorT_('Found invalid URL: ').$error );
  233.                 }
  234.             }
  235.         }
  236.         // Set previous, used for checking nesting context rules
  237.         $this->stack[$tag;
  238.     }
  239.  
  240.     /**
  241.      * cdata(-)
  242.      */
  243.     function cdata($parser$cdata)
  244.     {
  245.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  246.  
  247.         // Simply check that the 'previous' tag allows CDATA
  248.         $previous $this->stack[count($this->stack)-1];
  249.         // If previous tag is illegal, no point in running test
  250.         if (!in_array($previousarray_keys($this->tags))) {
  251.             return;
  252.         }
  253.         if (trim($cdata!= ''{
  254.             if (!in_array('#PCDATA'explode(' '$this->tags[$previous]))) {
  255.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; may not contain raw character data')'<code>'.$previous.'</code>' ) );
  256.             }
  257.         }
  258.     }
  259.  
  260.     /**
  261.      * tag_close(-)
  262.      */
  263.     function tag_close($parser$tag)
  264.     {
  265.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  266.  
  267.         // Move back one up the stack
  268.         array_pop($this->stack);
  269.     }
  270.  
  271.     function html_error$string )
  272.     {
  273.         global $Messages;
  274.         $this->error = true;
  275.         $Messages->add$string'error' );
  276.     }
  277.  
  278.     /**
  279.      * isOK(-)
  280.      */
  281.     function isOK()
  282.     {
  283.         return $this->error;
  284.     }
  285.  
  286. }
  287.  
  288.  
  289. /*
  290.  * $Log: _htmlchecker.class.php,v $
  291.  * Revision 1.8.2.4  2007/01/21 20:17:17  fplanque
  292.  * rollback. too complex change for 1.9. move to 1.10.
  293.  *
  294.  * Revision 1.8.2.2  2006/11/04 19:55:04  fplanque
  295.  * Reinjected old Log blocks. Removing them from CVS was a bad idea -- especially since Daniel has decided branch 1.9 was his HEAD...
  296.  *
  297.  * Revision 1.8  2006/07/04 17:32:30  fplanque
  298.  * no message
  299.  *
  300.  * Revision 1.7  2006/05/17 09:56:56  blueyed
  301.  * Handle default (empty) "encoding" better
  302.  *
  303.  * Revision 1.6  2006/05/02 22:19:27  blueyed
  304.  * whitespace
  305.  *
  306.  * Revision 1.5  2006/04/28 18:07:20  blueyed
  307.  * Simplified, removed PHP5 dependency
  308.  *
  309.  * Revision 1.4  2006/04/28 16:04:27  blueyed
  310.  * Fixed encoding for SafeHtmlChecker; added tests
  311.  *
  312.  * Revision 1.3  2006/03/20 00:25:45  blueyed
  313.  * fix
  314.  *
  315.  * Revision 1.2  2006/03/12 23:09:01  fplanque
  316.  * doc cleanup
  317.  *
  318.  * Revision 1.1  2006/02/23 21:12:18  fplanque
  319.  * File reorganization to MVC (Model View Controller) architecture.
  320.  * See index.hml files in folders.
  321.  * (Sorry for all the remaining bugs induced by the reorg... :/)
  322.  *
  323.  * Revision 1.9  2006/01/16 00:35:12  blueyed
  324.  * Fallback to UTF-8 encoding for not-supported encodings.
  325.  *
  326.  * Revision 1.8  2005/12/12 19:21:22  fplanque
  327.  * big merge; lots of small mods; hope I didn't make to many mistakes :]
  328.  *
  329.  * Revision 1.7  2005/10/09 19:31:15  blueyed
  330.  * Spelling (*allowed_attribues => *allowed_attributes)
  331.  *
  332.  * Revision 1.6  2005/09/06 17:13:55  fplanque
  333.  * stop processing early if referer spam has been detected
  334.  *
  335.  * Revision 1.5  2005/06/03 15:12:33  fplanque
  336.  * error/info message cleanup
  337.  *
  338.  * Revision 1.4  2005/02/28 09:06:33  blueyed
  339.  * removed constants for DB config (allows to override it from _config_TEST.php), introduced EVO_CONFIG_LOADED
  340.  *
  341.  * Revision 1.3  2004/11/15 18:57:05  fplanque
  342.  * cosmetics
  343.  *
  344.  * Revision 1.2  2004/10/14 18:31:25  blueyed
  345.  * granting copyright
  346.  *
  347.  * Revision 1.1  2004/10/13 22:46:32  fplanque
  348.  * renamed [b2]evocore/*
  349.  *
  350.  * Revision 1.13  2004/10/12 16:12:17  fplanque
  351.  * Edited code documentation.
  352.  *
  353.  */
  354. ?>
evocore

Packages

main
admin
admin-skin
conf
evocore
evoskins
gsbcore
htsrv
install
libs
obsolete
plugins
xmlsrv

Documentation generated on Tue, 18 Dec 2007 19:18:09 +0100 by phpDocumentor 1.4.0