<?php

error_reporting(E_ALL);

if (stristr(htmlentities($_SERVER['PHP_SELF']), "filterfuncties.php")) {
Header("Location: ../");
die();
}



/* ______________________________________________TEKST FILTER FUNCTIES _____________________________________________*/

/*
Filtering en conversie van invoer en uitvoer in en uit de database. Filtering tegen XSS-HTML-Javascript aanvallen.
Opgedeeld in veldfiltering oftewel enkel regelige waarden en tekst filtering.
_____________________________________________________________________________________________________________________

TOELICHTING
Er zijn meerdere XSS filter functies te vinden op het internet.
Alle gebruikersinvoer in formulieren moet worden gecontroleerd op verdachte code en er worden uitgefilterd of
onschadelijk worden gemaakt. Dit zijn XSS aanvallen. Deze functies maken gebruik van HTML Purifier:
http://htmlpurifier.org/
Veel forums maken gebruik van bb code of een andere vorm van vervangende code zodat de gebruiker geen HTML in
kan voeren. Dat is prima natuurlijk. Ook zijn er forums zoals de onze die gebruik maken van een ingebouwde
Editor. Een bekende is TinyMCE Editor, ingebouwd in het Forum en het Beheerdersgedeelte. Die maakt al wel code
onschadelijk maaar..wat als een gebruiker zijn JavaScript uitschakeld in de browser. Dan verdwijnt de editor
rondom de textarea vakken en kan er gewoon HTML en JavaScript en andere code worden ingevoerd. Dan komt dus een
XSS filter om de hoek kijken.
De PHP functie striptags is hier niet voldoende voor !
http://htmlpurifier.org/comparison.html.
HTML Purifier wordt ook in andere bekende CMS systemen gebruikt zoals bv Drupal om XSS aanvallen tegen te houden:
http://htmlpurifier.org/: Zie onderaan bij plugins en users:
Je vind html purifier in de map javascripts/library
*/


// Veldfilter Functies:

 function FilterXSSveld($str) {
 require_once 'library/HTMLPurifier.auto.php';
 $config = HTMLPurifier_Config::createDefault();
 // cache uitgeschakeld want werkt niet in safe mode !
 $config->set('Cache', 'DefinitionImpl', null);
// #fffffflist van toegestane html tags:
// geen html toegestaan dus leeg tussne de ''
 $config->set('HTML', 'Allowed', '');
 $purifier = new HTMLPurifier($config);
 $str = $purifier->purify($str);
 return $str;
 }

// als 1 regelig veld weergeef in voorbeeld
 function voorbeeldveld($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSSveld($str);
 return $str;
 }

 function doorgeefveld($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSSveld($str);
 $str = htmlentities($str, ENT_QUOTES, 'UTF-8');
 $str = str_replace( '&amp;', '&', $str);
 return $str;
 }

 function bewerktveld($str) {
 $str = str_replace( '&amp;', '&', $str);
 return $str;
 }

 function invoerveld($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSSveld($str);
 $str = htmlentities($str, ENT_QUOTES, 'UTF-8');
 return $str;
 }

 function uitvoerveld($str) {
// terugzetten naar HTML
 $str = html_entity_decode($str, ENT_QUOTES, 'UTF-8');
 return $str;
 }



// Tekst Filter Functies:

 function FilterXSStekst($str) {
 require_once 'library/HTMLPurifier.auto.php';
 $config = HTMLPurifier_Config::createDefault();
// cache uitgeschakeld want werkt niet in safe mode !
 $config->set('Cache', 'DefinitionImpl', null);
/* #fffffflist van toegestane HTML tags:
alinea, break, schuin, vet, onderstrepen, doorstrepen, link en list normaal en list genummerd
Alleen deze codes worden maar gegenereerd door de TinyMCE editor maar als iemand die uitschakeld kan hij
invoeren wat hij wil dus dan komt de strenge filtering om de hoek kijken. */
 $config->set('HTML', 'Doctype', 'XHTML 1.0 Strict');
 $config->set('HTML','AllowedElements','p,span,strong,em, ul, li, ol, br, a');
 $config->set('HTML','AllowedAttributes', '*.style,a.href');
 $config->set('CSS','AllowedProperties','text-decoration');
 $purifier = new HTMLPurifier($config);
 $str = $purifier->purify($str);
 return $str;
 }

// Als in Preview weergegeven moet worden
 function voorbeeldtekst($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSStekst($str);
 return $str;
 }

/* Dezelfde tekst als in voorbeeldtekst alleen dan met HTML entities
Als je dat al zou doen bij voorbeeldtekst wordt er HTML weergevens ipv dat de HTML verwerkt wordt.
*/
 function doorgeeftekst($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSStekst($str);
 $str = htmlentities($str, ENT_QUOTES, 'UTF-8');
 return $str;
 }

 function bewerktekst($str) {
 return $str;
 }

 function invoertekst($str) {
// Deze altijd plaatsen als het om gebruikersinvoer gaat.
 $str = FilterXSStekst($str);
 $str = htmlentities($str, ENT_QUOTES, 'UTF-8');
 return $str;
 }

 function uitvoertekst($str) {
// terugzetten naar HTML
 $str = html_entity_decode($str, ENT_QUOTES, 'UTF-8');
 return $str;
 }
 
 function verbeterurlalias($str) {
 $str = trim($str);
 $str = str_replace( ' ', '', $str);
 $str = strtolower($str);
 return $str;
 }


?>