b2evolution

Multilingual multiuser multiblog engine

Home About Demo Download Hosting Extend Docs Support
b2evolution Technical Documentation (Version 2.4) [ class tree: evocore ] [ index: evocore ] [ all elements ]

Source for file _xhtml_validator.class.php

Documentation is available at _xhtml_validator.class.php

  1. <?php
  2. /**
  3.  * This file implements the XHTML_Validator class.
  4.  *
  5.  * Checks HTML against a subset of elements to ensure safety and XHTML validation.
  6.  *
  7.  * This file is part of the b2evolution/evocms project - {@link http://b2evolution.net/}.
  8.  * See also {@link http://sourceforge.net/projects/evocms/}.
  9.  *
  10.  * @copyright (c)2003-2008 by Francois PLANQUE - {@link http://fplanque.net/}.
  11.  *  Parts of this file are copyright (c)2003 by Nobuo SAKIYAMA - {@link http://www.sakichan.org/}
  12.  *  Parts of this file are copyright (c)2004-2005 by Daniel HAHLER - {@link http://thequod.de/contact}.
  13.  *
  14.  * @license http://b2evolution.net/about/license.html GNU General Public License (GPL)
  15.  *
  16.  *  {@internal Open Source relicensing agreement:
  17.  *  Daniel HAHLER grants Francois PLANQUE the right to license
  18.  *  Daniel HAHLER's contributions to this file and the b2evolution project
  19.  *  under any OSI approved OSS license (http://www.opensource.org/licenses/).
  20.  *  }}}
  21.  *
  22.  *  {@internal Origin:
  23.  *  This file was inspired by Simon Willison's SafeHtmlChecker released in
  24.  *  the public domain on 23rd Feb 2003.
  25.  *  {@link http://simon.incutio.com/code/php/SafeHtmlChecker.class.php.txt}
  26.  *  }}}
  27.  *
  28.  * @package evocore
  29.  *
  30.  *  {@internal Below is a list of authors who have contributed to design/coding of this file: }}
  31.  * @author blueyed: Daniel HAHLER.
  32.  * @author fplanque: Francois PLANQUE.
  33.  * @author sakichan: Nobuo SAKIYAMA.
  34.  * @author Simon Willison.
  35.  *
  36.  * @version $Id: _xhtml_validator.class.php,v 1.9 2008/01/21 09:35:37 fplanque Exp $
  37.  */
  38. if!defined('EVO_MAIN_INIT') ) die'Please, do not access this page directly.' );
  39.  
  40. /**
  41.  * XHTML_Validator
  42.  *
  43.  * checks HTML against a subset of elements to ensure safety and XHTML validation.
  44.  *
  45.  * @package evocore
  46.  */
  47. class XHTML_Validator
  48. {
  49.     var $tags;      // Array showing allowed attributes for tags
  50.     var $tagattrs;  // Array showing URI attributes
  51.     var $uri_attrs;
  52.     var $allowed_uri_scheme;
  53.  
  54.     // Internal variables
  55.     var $parser;
  56.     var $stack = array();
  57.     var $last_checked_pos;
  58.     var $error;
  59.  
  60.     /**
  61.      * Constructor
  62.      *
  63.      * {@internal This gets tested in _libs.misc.simpletest.php}}
  64.      *
  65.      * @param string 
  66.      * @param string Input encoding to use ('ISO-8859-1', 'UTF-8', 'US-ASCII' or '' for auto-detect)
  67.      */
  68.     function XHTML_Validator$context 'posting'$allow_css_tweaks false$allow_iframes false$allow_javascript false$allow_objects false$encoding NULL$msg_type 'error' )
  69.     {
  70.         global $inc_path;
  71.  
  72.         require $inc_path.'xhtml_validator/_xhtml_dtd.inc.php';
  73.  
  74.         $this->context $context;
  75.  
  76.         switch$context )
  77.         {
  78.             case 'posting':
  79.             case 'xmlrpc_posting':
  80.                 $this->tags = $allowed_tags;
  81.                 $this->tagattrs = $allowed_attributes;
  82.                 break;
  83.  
  84.             case 'commenting':
  85.                 $this->tags = $comments_allowed_tags;
  86.                 $this->tagattrs = $comments_allowed_attributes;
  87.                 break;
  88.  
  89.             default:
  90.                 debug_die'unknown context: '.$context );
  91.         }
  92.  
  93.         // Attributes that need to be checked for a valid URI:
  94.         $this->uri_attrs = array
  95.         (
  96.             'xmlns',
  97.             'profile',
  98.             'href',
  99.             'src',
  100.             'cite',
  101.             'classid',
  102.             'codebase',
  103.             'data',
  104.             'archive',
  105.             'usemap',
  106.             'longdesc',
  107.             'action'
  108.         );
  109.  
  110.         $this->allowed_uri_scheme = get_allowed_uri_schemes$context );
  111.  
  112.         $this->msg_type $msg_type;
  113.  
  114.         ifempty($encoding) )
  115.         {
  116.             global $io_charset;
  117.             $encoding $io_charset;
  118.         }
  119.         $encoding strtoupper($encoding)// we might get 'iso-8859-1' for example
  120.         $this->encoding $encoding;
  121.         ifin_array$encodingarray'ISO-8859-1''UTF-8''US-ASCII' ) ) )
  122.         // passed encoding not supported by xml_parser_create()
  123.             $this->xml_parser_encoding ''// auto-detect (in PHP4, in PHP5 anyway)
  124.         }
  125.         else
  126.         {
  127.             $this->xml_parser_encoding $this->encoding;
  128.         }
  129.         $this->parser = xml_parser_create$this->xml_parser_encoding );
  130.  
  131.         $this->last_checked_pos = 0;
  132.         $this->error = false;
  133.  
  134.         // Creates the parser
  135.         xml_set_object$this->parser$this);
  136.  
  137.         // set functions to call when a start or end tag is encountered
  138.         xml_set_element_handler($this->parser'tag_open''tag_close');
  139.         // set function to call for the actual data
  140.         xml_set_character_data_handler($this->parser'cdata');
  141.  
  142.         xml_parser_set_option($this->parserXML_OPTION_CASE_FOLDINGfalse);
  143.     }
  144.  
  145.  
  146.     /**
  147.      * check(-)
  148.      */
  149.     function check($xhtml)
  150.     {
  151.         // Convert encoding:
  152.         // TODO: use convert_encoding()
  153.         ifempty($this->xml_parser_encoding|| $this->encoding != $this->xml_parser_encoding )
  154.         // we need to convert encoding:
  155.             iffunction_exists'mb_convert_encoding' ) )
  156.             // we can convert encoding to UTF-8
  157.                 $this->encoding 'UTF-8';
  158.  
  159.                 // Convert XHTML:
  160.                 $xhtml mb_convert_encoding$xhtml'UTF-8' );
  161.             }
  162.             elseif( ($this->encoding == 'ISO-8859-1' || empty($this->encoding)) && function_exists('utf8_encode') )
  163.             {
  164.                 $this->encoding 'UTF-8';
  165.  
  166.                 $xhtml utf8_encode$xhtml );
  167.             }
  168.         }
  169.  
  170.         // Open comments or '<![CDATA[' are dangerous
  171.         $xhtml str_replace('<!'''$xhtml);
  172.  
  173.         // Convert isolated & chars
  174.         $xhtml preg_replace'#(\s)&(\s)#''\\1&amp;\\2'$xhtml );
  175.  
  176.         $xhtml_head '<?xml version="1.0"';
  177.         ifempty($this->encoding) )
  178.         {
  179.             $xhtml_head .= ' encoding="'.$this->encoding.'"';
  180.         }
  181.  
  182.         $xhtml_head .= '?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"';
  183.  
  184.         // Include entities:
  185.         $xhtml_head .= '[';
  186.         // Include latin1 entities (http://www.w3.org/TR/xhtml1/DTD/xhtml-lat1.ent):
  187.         $xhtml_head .= file_get_contentsdirname(__FILE__).'/_xhtml-lat1.ent' );
  188.         // Include symbol entities (http://www.w3.org/TR/xhtml1/DTD/xhtml-symbol.ent):
  189.         $xhtml_head .= file_get_contentsdirname(__FILE__).'/_xhtml-symbol.ent' );
  190.         // Include special entities (http://www.w3.org/TR/xhtml1/DTD/xhtml-special.ent):
  191.         $xhtml_head .= file_get_contentsdirname(__FILE__).'/_xhtml-special.ent' );
  192.         $xhtml_head .= ']>';
  193.  
  194.         $xhtml $xhtml_head.'<body>'.$xhtml.'</body>';
  195.         unset($xhtml_head);
  196.  
  197.         if!xml_parse($this->parser$xhtml) )
  198.         {
  199.             $xml_error_code xml_get_error_code$this->parser );
  200.             $xml_error_string xml_error_string$xml_error_code );
  201.             switch$xml_error_code )
  202.             {
  203.                 case XML_ERROR_TAG_MISMATCH:
  204.                     $xml_error_string .= ': <code>'.$this->stack[count($this->stack)-1].'</code>';
  205.                     break;
  206.             }
  207.             $pos xml_get_current_byte_index($this->parser);
  208.             $xml_error_string .= ' near <code>'.htmlspecialcharssubstr$xhtml$this->last_checked_pos$pos-$this->last_checked_pos+20 ) ).'</code>';
  209.  
  210.             $this->html_errorT_('Parser error: ').$xml_error_string );
  211.         }
  212.  
  213.         return $this->isOK();
  214.     }
  215.  
  216.  
  217.     /**
  218.      * tag_open(-)
  219.      *
  220.      * Called when the parser finds an opening tag
  221.      */
  222.     function tag_open($parser$tag$attrs)
  223.     {
  224.         global $debug;
  225.  
  226.         // echo "processing tag: $tag <br />\n";
  227.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  228.  
  229.         if ($tag == 'body')
  230.         {
  231.             ifcount($this->stack)
  232.                 $this->html_errorT_('Tag <code>body</code> can only be used once!') );
  233.             $this->stack[$tag;
  234.             return;
  235.         }
  236.         $previous $this->stack[count($this->stack)-1];
  237.  
  238.         // If previous tag is illegal, no point in running tests
  239.         if (!in_array($previousarray_keys($this->tags))) {
  240.             $this->stack[$tag;
  241.             return;
  242.         }
  243.         // Is tag a legal tag?
  244.         if (!in_array($tagarray_keys($this->tags))) {
  245.             $this->html_errorT_('Illegal tag')": <code>$tag</code>);
  246.             $this->stack[$tag;
  247.             return;
  248.         }
  249.         // Is tag allowed in the current context?
  250.         if (!in_array($tagexplode(' '$this->tags[$previous]))) {
  251.             if ($previous == 'body'{
  252.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; must occur inside another tag')'<code>'.$tag.'</code>' ) );
  253.             else {
  254.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; is not allowed within tag &lt;%s&gt;')'<code>'.$tag.'</code>''<code>'.$previous.'</code>') );
  255.             }
  256.         }
  257.         // Are tag attributes valid?
  258.         foreach$attrs as $attr => $value )
  259.         {
  260.             if (!isset($this->tagattrs[$tag]|| !in_array($attrexplode(' '$this->tagattrs[$tag])))
  261.             {
  262.                 $this->html_errorsprintfT_('Tag &lt;%s&gt; may not have attribute %s="..."')'<code>'.$tag.'</code>''<code>'.$attr.'</code>' ) );
  263.             }
  264.  
  265.             if (in_array($attr$this->uri_attrs))
  266.             // This attribute must be checked for URIs
  267.                 $matches array();
  268.                 $value trim($value);
  269.                 if$error validate_url$value$this->contextfalse ) ) //Note: We do not check for spam here, should be done on whole message in check_html_sanity()
  270.                 {
  271.                     $this->html_errorT_('Found invalid URL: ').$error );
  272.                 }
  273.             }
  274.  
  275.         }
  276.         // Set previous, used for checking nesting context rules
  277.         $this->stack[$tag;
  278.     }
  279.  
  280.     /**
  281.      * cdata(-)
  282.      */
  283.     function cdata($parser$cdata)
  284.     {
  285.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  286.  
  287.         // Simply check that the 'previous' tag allows CDATA
  288.         $previous $this->stack[count($this->stack)-1];
  289.         // If previous tag is illegal, no point in running test
  290.         if (!in_array($previousarray_keys($this->tags))) {
  291.             return;
  292.         }
  293.         if (trim($cdata!= ''{
  294.             if (!in_array('#PCDATA'explode(' '$this->tags[$previous]))) {
  295.                 $this->html_error(    sprintfT_('Tag &lt;%s&gt; may not contain raw character data')'<code>'.$previous.'</code>' ) );
  296.             }
  297.         }
  298.     }
  299.  
  300.     /**
  301.      * tag_close(-)
  302.      */
  303.     function tag_close($parser$tag)
  304.     {
  305.         $this->last_checked_pos = xml_get_current_byte_index($this->parser);
  306.  
  307.         // Move back one up the stack
  308.         array_pop($this->stack);
  309.     }
  310.  
  311.     function html_error$string )
  312.     {
  313.         global $Messages;
  314.         $this->error = true;
  315.         $Messages->add$string$this->msg_type );
  316.     }
  317.  
  318.     /**
  319.      * isOK(-)
  320.      */
  321.     function isOK()
  322.     {
  323.         return $this->error;
  324.     }
  325.  
  326. }
  327.  
  328.  
  329. /*
  330.  * $Log: _xhtml_validator.class.php,v $
  331.  * Revision 1.9  2008/01/21 09:35:37  fplanque
  332.  * (c) 2008
  333.  *
  334.  * Revision 1.8  2008/01/20 18:20:27  fplanque
  335.  * Antispam per group setting
  336.  *
  337.  * Revision 1.7  2008/01/20 15:31:12  fplanque
  338.  * configurable validation/security rules
  339.  *
  340.  * Revision 1.6  2008/01/19 18:24:25  fplanque
  341.  * antispam checking refactored
  342.  *
  343.  * Revision 1.5  2008/01/19 15:45:28  fplanque
  344.  * refactoring
  345.  *
  346.  * Revision 1.4  2008/01/19 10:57:11  fplanque
  347.  * Splitting XHTML checking by group and interface
  348.  *
  349.  * Revision 1.3  2008/01/18 15:53:42  fplanque
  350.  * Ninja refactoring
  351.  *
  352.  * Revision 1.2  2007/09/13 02:37:22  fplanque
  353.  * special cases
  354.  *
  355.  * Revision 1.1  2007/06/25 11:02:27  fplanque
  356.  * MODULES (refactored MVC)
  357.  *
  358.  * Revision 1.13  2007/04/26 00:11:07  fplanque
  359.  * (c) 2007
  360.  *
  361.  * Revision 1.12  2006/11/27 02:29:53  blueyed
  362.  * Committed test changes by accident. Test added for it as an exercise.
  363.  *
  364.  * Revision 1.11  2006/11/26 02:30:39  fplanque
  365.  * doc / todo
  366.  *
  367.  * Revision 1.10  2006/11/06 22:56:53  blueyed
  368.  * Added full(?) XHTML entities support to the html checker
  369.  *
  370.  * Revision 1.9  2006/11/04 21:44:59  blueyed
  371.  * Include latin1 entities to let xml_parse() not choke on those
  372.  */
  373. ?>
evocore

Packages

main
admin
admin-skin
conf
evocore
evoskins
htsrv
install
libs
plugins
xmlsrv

Documentation generated on Sat, 06 Mar 2010 03:42:54 +0100 by phpDocumentor 1.4.2. This site is hosted and maintained by Daniel HAHLER (Contact).