Форум Регулярные Выражения

вы о динамической генерации изображений когда-нибудь слышали? они в 100% случаев генерируются скриптами.
Вообще, на вашем месте, я бы просто пользователю ткнул под нос мануал, пунктов на 20, как ему вводить ссылки... зачем думать разработчику? Пусть у юзеров голова болит...

скрипт изображение чтоли не может возвращать?!

[поправлено модератором]

Если в ссылке на изображение присутствуют равно, амперсанда, вопрос и пр. - это 99% не изображение, а скрипт...

схема javascript: - заблокирована. Левый уголок - заблокирован. Выход за пределы кавычки - и тот заблокирован. Какие XSS из-за амперсенда и равно? Пример в студию!


Опять охота на ведьм... опять символы делят на добрые и злые....

Ребят, у вас понятия о безопасности существуют какие-нибудь?
Если вы хотите, чтобы пользователи могли вставлять простые картинки в форум, то зачем им спецсимволы?

Если разрешить вопрос, амперсанду и равно - то это ничего не даст простым пользователям, а хакеры смогут использовать для XSS.

Если разрешить относительные пути - тоже XSS'ом пахнет...

А то, найдутся умники, которые вместо картинок вам скриптов нагрузят...


Всем спасибо за внимание.

специально его не стал включать... но, в общем, верно

#

путь может быть не только http, но и https... а может и вообще быть относительным

>- после своего начала (см. выше) и до конца содержать только цифры, английские буквы, знак нижнего подчёркивания, дефис, прямой слэш (/), точку

а знаки "=", "?", "&", ","?

вроде как я понял...

вот:

$text = preg_replace('/\[img\](http:\/\/[a-zA-Z_0-9\-\.\/]*\.(jpg|gif|png))\[\/img\]/is', '<img src="$1">', $text);

Строка между тэгами также должна:
- начинаться с http:// или http://www или www
- заканчиваться на .jpg или .gif или .png
- после своего начала (см. выше) и до конца содержать только цифры, английские буквы, знак нижнего подчёркивания, дефис, прямой слэш (/), точку