Enlaces y expresiones regulares

clinisbut · #1 (**permalink**) 10/06/2007, 04:41

Hola a todos.
Estoy montandome un sistema de etiquetas personalizadas para contenido insertado por usuarios y tengo un problemilla con los enlaces.
Teniendo estos ejemplos como enlaces (válidos y no válidos)

1-[LINK] http://www.google.com [/LINK]
2-[LINK] www.googlje.com [/LINK]
3-[LINK] www.googlje.com/index.php [/LINK]
4-[LINK] javascript:alert('hola '); [/LINK]
5-[LINK] javascript [/LINK]
6-[LINK] www.google.com\" onclick=\"alet('hola');\" [/LINK]

Esta expresion regular me acepta todos los enlaces:
\[LINK\] ([\w\W]*) \[\/LINK\]

Pero lógicamente los enlaces nº 4,5 y 6 no pueden ser válidos...
Estoy intentado con
\[LINK\] ([^javascript][\w\W]*) \[\/LINK\]

Pero me sigue aceptando todos... creo que no hago bien uso del ^ para discriminar una determinada cadena

clinisbut · #2 (**permalink**) 12/06/2007, 00:50

refloto el tema

clinisbut · #3 (**permalink**) 11/07/2007, 07:23

Dicho de otra forma, quiero añadir a la expresión regular algo que diga:
"no contenga la CADENA 'javacript:'

Se que con ^ dentro de un corchete ( [ ) indica que no contenga los caracteres indicados pero lo que yo quiero es una cadena en concreto.

clinisbut · #4 (**permalink**) 16/07/2007, 05:55

Después de que se me iluminara la bombilla con http://www.forosdelweb.com/f18/bbcode-citar-mensaje-con-cita-375546/, se me ha ocurrido como zanjar este tema.
Para quien le surja la misma duda o para quien se lo quiera mirar para encontrar posibles vulnerabilidades:

Código PHP:

  preg_match_all('/\[LINK\](?:http:\/\/)?([a-zA-Z0-9_\?=;\.\/\&#:]+)\[\/LINK\]/', $texto, $coincidencias, PREG_SET_ORDER );         
         
    foreach( $coincidencias AS $coincidencia ) 
    { 
        $cadena = $coincidencia[0]; 
        if( !preg_match( "/javascript:/i", $cadena ) ) 
        {    $reemplazo = "<a href=\"\\1\" />\\1"; 
        } 
        else 
        {    $reemplazo = ""; 
        } 
        $cadena = str_replace( '/', '\/', $cadena ); 
        $cadena = str_replace( '.', '\.', $cadena ); 
        $patron = "/\[LINK\](".substr( $cadena, 5, strlen( $cadena )-12 ).")\[\/LINK\]/"; 
        $texto = preg_replace( $patron,  $reemplazo, $texto ); 
    }

$texto es el texto a formatear.
Lo primero que hago es buscar los [LINK]www.web.com[/LINK] que existe en el texto y se guardan en $coincidencias.

Se recorre cada una de las coincidencias y se aplica la expresión regular /javascript:/i para ver si existe la cadena prohibida.
Si existe la cadena prohibida, no se traduce [LINK] a <a href..>;
Si no existe la cadena prohibida se traduce [LINK] a <a href...>;

Y ya está.