From 3b369122645b07b290f7fcc7bccb4787745cd5ea Mon Sep 17 00:00:00 2001
From: polo <ordipolo@gmx.fr>
Date: Tue, 24 Mar 2026 22:39:29 +0100
Subject: =?UTF-8?q?mode=20maintenance,=20optimisation=20moins=20de=20contr?=
 =?UTF-8?q?=C3=B4les=20en=20mode=20run,=20dossier=20service=20et=20d=C3=A9?=
 =?UTF-8?q?placement=20fichiers,=20sessions=20et=20entit=C3=A9=20User=20pr?=
 =?UTF-8?q?=C3=A9par=C3=A9es=20=C3=A0=20l'impl=C3=A9mentation=20hypoth?=
 =?UTF-8?q?=C3=A9tique=20des=20r=C3=B4les,=20entit=C3=A9=20AppMetadata,=20?=
 =?UTF-8?q?meilleure=20s=C3=A9curit=C3=A9=20de=20fillStartingDatabase?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 src/Security.php | 110 -------------------------------------------------------
 1 file changed, 110 deletions(-)
 delete mode 100644 src/Security.php

(limited to 'src/Security.php')

diff --git a/src/Security.php b/src/Security.php
deleted file mode 100644
index c825994..0000000
--- a/src/Security.php
+++ /dev/null
@@ -1,110 +0,0 @@
-<?php
-// src/Security.php
-//
-// htmlawed nettoie les entrées de l'utilisateur, en particulier le html de l'éditeur
-
-declare(strict_types=1);
-
-class Security
-{
-	private static $configHtmLawed = array(
-	    'safe'=>1, // protection contre les élements et attributs dangereux
-
-	    // liste blanche d'éléments HTML
-	    'elements'=> 'h1, h2, h3, h4, h5, h6, p, br, s, em, span, strong, a, ul, ol, li, sup, sub, code, blockquote, div, pre, table, caption, colgroup, col, tbody, tr, th, td, figure, img, figcaption, iframe, small',
-
-	    // liste noire d'attributs HTML
-	    'deny_attribute'=> 'id, class' // on garde 'style'
-	);
-	// faire qu'un certain élément puisse n'avoir que certains attributs, regarder la doc
-	private static $specHtmLawed = '';
-
-	// obtenir du HTML non dangereur sans appliquer htmlspecialchars
-	public static function secureHTML(string $chaine): string
-	{
-	    return trim(htmLawed($chaine, self::$configHtmLawed, self::$specHtmLawed));
-	}
-
-	public static function secureFileName(string $chaine): string
-	{
-		// sécuriser un nom avec chemin avec basename?
-		//$chaine = basename($chaine);
-
-		/* 
-		- caractères interdits sous windows / \ : * ?  " < > |
-		- mac autorise les /
-		- mac interdit :
-		- linux autorise tout sauf les /
-		- imagemagick ne supporte pas les :
-
-		- 'espace' fonctionne
-		- / remplacé par firefox en :
-		- \ retire ce qui est devant le \
-		- * fonctionne
-		- ? permet le téléchargement mais pas l'affichage
-		- " ne fonctionne pas, remplacé par %22, filtrer %22
-		- < > fonctionnent
-		- | fonctionne
-		- = fonctionne, mais je filtre parce qu'on en trouve dans une URL
-		- ' ` fonctionnent
-		- % fonctionne
-		- (){}[] fonctionnent
-		- ^ fonctionne
-		- # ne fonctionne pas
-		- ~ fonctionne
-		- & fonctionne
-		- ^ pas encore testé
-		*/
-
-		// => on remplace tout par des _
-		// filtrer / et \ semble inutile
-
-		/*$cibles = [' ', '/', '\\', ':', '*', '?', '<', '>', '|', '=', "'", '`', '"', '%22', '#'];
-		$chaine = str_replace($cibles, '_', $chaine); // nécéssite l'extension mbstring
-		$chaine = mb_strtolower($chaine);
-		return($chaine);*/
-
-		$chaine = preg_replace('/[^a-zA-Z0-9_-]/', '_', $chaine); // ne garder que les lettres, chiffres, tirets et underscores
-	    $chaine = preg_replace('/_+/', '_', $chaine); // doublons d'underscores
-	    return trim($chaine, '_');
-	    
-		// les problèmes avec \ persistent !!
-		// => javascript
-		// malheureusement document.getElementById('upload').files[0].name = chaine; ne marche pas! interdit!
-		// javascript ne doit pas pouvoir accéder au système de fichiers
-		// solutions:
-		// - au lieu de fournir une chaine (le chemin du fichier), donner un objet à files[0].name
-		// - créer une copie du fichier et l'envoyer à la place
-		// - envoyer le fichier en AJAX
-		// - envoyer le nom du fichier à part puis renommer en PHP
-	}
-}
-
-// lien sans http://
-function fixLinks($data)
-{
-    // 1/
-    // si une adresse est de type "domaine.fr" sans le http:// devant, le comportement des navigateurs est de rechercher un fichier comme si mon adresse commençait par file://
-    // tomber ainsi sur une page d'erreur est parfaitement déroutant
-
-    // regex pour détecter les balises <a> et ajouter http:// au début des liens si nécessaire
-    $pattern = '#(<a[^>]+href=")((?!https?://)[^>]+>)#';
-	//$data = preg_replace($pattern, '$1http://$2', $data);
-
-    // 2/
-    // cas où la regex fait mal son boulot:
-    // l'erreur 404 est gérée par le .htaccess
-    // et le visiteur est redirigé à la page "menu"
-    // (ça ne règle pas le problème mais c'est mieux)
-
-    // 3/
-    // quand l'éditeur est ouvert (avant de valider l'article),
-    // le lien qu'on vient de créer apparaît dans l'infobulle,
-    // cliquer dessus ouvre un onglet sur une erreur 404
-    // solution partielle avec le .htaccess
-    //
-    // solution? fermer ce nouvel onglet avec echo '<SCRIPT>javascript:window.close()</SCRIPT>';
-    // comment déclencher le JS? en faisant qu'une erreur 404 causée pour cette raison soit particulière?
-
-    return($data);
-}
-- 
cgit v1.2.3