Restringir esiquetas de estilo que se pueden enviar por formulario

naggety · #1 (**permalink**) 17/08/2011, 12:58

Saludos.

En un formulario quiero que los usuarios puedan dar algo de formato al texto que envíen desde un textarea, pero de forma limitada.

He añadido la función strip_tags, que elimina todas las etiquetas HTML excepto las que yo le he indicado. El problema es que esto sirve de poco si se puede añadir en las etiquetas style="el estilo que les de la gana".

Hay alguna forma de limitar los atributos de estilo que puedan añadir de esta manera?

Gracias!

Patriarka · #2 (**permalink**) 17/08/2011, 13:04

con expresiones regulares detecta el inicio de un style="... hasta su fin ...."
en el php.net hay mucha info

naggety · #3 (**permalink**) 17/08/2011, 13:28

Ya veo....
Apenas me estoy iniciando con PHP y no conocía las expresiones regulares.
Ya estoy mirando información sobre ellas, a ver si consigo lo que quiero, y si tengo problemas comento.
Muchas gracias

naggety · #4 (**permalink**) 17/08/2011, 18:17

He conseguido hacerlo.
He utilizado la función preg_replace_callback para buscar el patrón style="loquesea" y sustituirlo por la misma cadena pero dejando solo los atributos "autorizados".
Así:

Código PHP:

Ver original$texto = preg_replace_callback ("/(style.*=.*\".*\"|style.*=.*'.*')/i","limpia_estilos",$texto);

Antes he definido la función limpia_estilos, que separa todos los atributos contenidos de estilo y vuelve a colocarlos sólo si están autorizados.

Código PHP:

Ver originalfunction limpia_estilos ($cadena) {
 
    $contenido_estilos = explode ('"',$cadena[0]);
    $contenido_estilos_separado = explode (';', $contenido_estilos [1]);
    $salida = "style=\"";
    foreach ($contenido_estilos_separado as $valor) {
        if (preg_match ("/(color|margin-left|text-align|width|height)/i",$valor) > 0) 
            $salida .= $valor.';';
    }
    $salida .= '"';
    return $salida;
}

Patriarka · #5 (**permalink**) 18/08/2011, 06:46

Buenisimo ya lo archivo en mis etiquetas del firefox!

naggety · #6 (**permalink**) 20/08/2011, 05:54

Creo que el código no era del todo correcto, ya que el patrón de búsqueda podía llegar a incluír más elementos después del style, tal y como estaba escrito.

Así creo que es correcto, a falta de probarlo más veces:

Código PHP:

Ver original$noticia = preg_replace_callback ("/(style[[:space:]]*=[[:space:]]*\"[^\"]*\"|style[[:space:]]*=[[:space:]]*'[^']*')/i","limpia_estilos",$noticia);

naggety · #7 (**permalink**) 20/08/2011, 06:05

Código PHP:

Ver originalfunction limpia_estilos ($cadena) { //función callback para preg_replace_callback
    
        $contenido_estilos = explode ('"',$cadena[0]);
        $contenido_estilos_separado = explode (';', $contenido_estilos [1]);
        $salida = "style=\"";
        foreach ($contenido_estilos_separado as $valor) {
            $nombre_valor = explode (':',$valor);
            if (preg_match ("/(color|margin-left|text-align|width|height)/i",$nombre_valor[0]) > 0) 
                $salida .= $valor.';';
        }
        $salida .= '"';
        return $salida;
    }