Форум Регулярные Выражения

Подскажите пожалуйста самый безопасный парсер бб кодов!!!

Безопасный - это как? Можно самому написать. Это совсем не трудно.
preg_replace("#\[(\/?)i\]#i", "<$$1i>", $text);
preg_replace("#\[(\/?)b\]#i", "<$$1strong>", $text);
preg_replace("#\[code\]#i", "<pre><code>", $text);
preg_replace("#\[\/code\]#i", "</code></pre>", $text);

Тег url

<?php   $search = array("/\[url=(['\"]?)(www\.)([^\"']*)\\1](.*)\[\/url\]/siU",                     "/\[url=(['\"]?)([^\"']*)\\1](.*)\[\/url\]/siU",                     "/\[url](www\.)([^\"]*)\[\/url\]/siU",                     "/\[url]([^\"]*)\[\/url\]/siU",                     "/\[img]([^\"]*)\[\/img\]/siU",                     "#\[b\](.*?)\[/b\]#is",                     "#\[i\](.*?)\[/i\]#is",                     "#\[u\](.*?)\[/u\]#is",                     "#\[s\](.*?)\[/s\]#is",                     "#^(http://|www)?[a-z0-9\.-]+\.[a-z]{1,6}$#");     $replace = array("<a href=\"http://www.\\3\">\\4</a>",                      "<a href=\"\\2\">\\3</a>",                      "<a href=\"http://www.\\2\">\\2\\3</a>",                      "<a href=\"\\1\">\\1</a>",                      "<img src=../\\1 border=0>",                      "<b>\\1</b>",                      "<i>\\1</i>",                      "<u>\\1</u>",                      "<s>\\1</s>",                      "<a href=\"\\1\">\\1</a>"); $text = preg_replace($search, $replace, $text);  ?>

Ну и где тут безопасность? Просто теплица для XSS.

аргументируйте

[url]javascript:alert(document.cookie)[/url]

и как быть???

проверять на наличие подобных конструкций

может кто-нить покажет на примере? :))) а то я не особо силен в рег. выражениях :)))
если можно...

ну например так:

<? $text=preg_replace('#(\[url\].*?)script:(.*?\[/url\])#si', '$1 script:$2', $text);

Заменять не всё подряд, а только то, что начинается с "http://" (ftp, https, итдитп)

ссылки могут быть и относительными. в том числе и начинаться с javascript. Это случай совсем фантастический, но теоретически возможный:)

Думаю, Вы не много потеряете пользователей, если запретите им вводить относительные ссылки :)

>> в том числе и начинаться с javascript
Может быть еще код распарсить да проанализировать - опасный он или нет :))

>Думаю, Вы не много потеряете пользователей, если запретите им вводить относительные ссылки :)
Меня потеряете:)
Вас, например, не раздражает, когда зайдя на форум softtime.ru и кликнув по какой-нибудь ссылке, вы оказываетесь на www.sofftime.ru и хлоп - вместо "Привет, kasmanaft!" наверху "Привет, пользователь!"?
Меня вот чрезвычайно раздражает. Поэтому стараюсь ставить относительные ссылки где это возможно.

А если вот так?Правильно?

$text=preg_replace("#\[code\](.*)\[\/code\]#i",htmlspecialchars("\\1",ENT_QUOTES),$text);

или так

$text=preg_replace("#\[code\](.*)\[\/code\]#si","htmlspecialchars('$1',ENT_QUOTES)",$text);

Нет. Неправильно.
Правда, я не очень понял мы о ссылках говорим или уже нет?

Почему неправильно. Объясните пожалуйста? Я имею ввиду в целях безопасности, код внутри [code] будет заменять html теги и xss не пройдёт

Неправильно по двум причинам... ну скажем по полутора:)

[ code]    первый блок [ /code] [ code]    второй блок    [ url]xss[ /url]    <a href=xss>воть</a> [ /code]

в этом случае у вас будут захвачены только крайние теги. надо использовать не (*.), а (.*?)

ну и вторая причина, что xss во втором блоке все равно сработает (в том случае, если теги url будут парсится после code). Ну и заменить только кавычки - недостаточно.