Euh,
-- encodage/decodage --
le
bin2hex/hex2bin de leo me parait bien, il evite de gerer les ID puisque l'information est deja dans l'URL du text2img. clair qu'il faut eviter de trimballer un ID ou grosse usine en perspective...
Si c'est pas assez secure, il y a aussi le
openssl_encrypt()/openssl_decrypt(), avec une clef "WRI" par exemple. la clef est inconnue du JS, donc c'est secure. Avec un algo ultra simple qui genere de l'ascii (pas de clef longueur 1024 bits
)
ou
hash_hmac() qui a l'air de jouer dans la meme categorie
uuencode/uudecode, ou
base64, suffit peut etre, faut vraiment tomber sur un cracker qui n'a vraiment rien de mieux a faire de ses journées que hacker WRI, pour passer son temps a uudecoder des URL...... Et si ça arrive, il y a surement d'autres backdoor, on a pas la protection du FBI non plus
-- text2img --
Tu pensais a quelle façon de faire leo ? Il y a biensur la vieille lib graphique GD de PHP, genre
imagefttext() qui ecrit du texte dans une image, mais ca reste une image PNG/GIF/JPG ce qui est un peu lourdingue...
il y a aussi l'image SVG:
Vu du client, c'est une image comme une PNG, avec un peu de chance elle est zippée avant d'être envoyée, ce qui la rends plus secure (les robots qui dezippent les images pour les analyser sont vraiment des tordus)
-- JS --
Embrouiller la chaine dans une manip de regex en JS comme l'a fait Dom, ca parait pas mal aussi, d'accord avec Dominique, JS est devenu obligatoire. si il y a un blanc a la place, tant pis
-- script detection --
Excellente idée, comme ça, la donnée elle-même est propre, un simple regex devrait faire l'affaire ?
le CSS ? ya une possibilité par là ?
Integrer le bouzin en BBcode, ca me gêne un peu.
Actuellement, si je me trompe pas, la donnée en base, c'est du texte avec une couche de BBcode standard, rien de plus, en particulier rien de WRI en plus ?
En exagérant, ajouter une balise maison revient a rendre notre donnée non standard.
On a déja pas mal de trucs qui ne sont déjà plus standard, si on peut eviter d'en faire un de plus ...
A contrario, l'auto-détection gere le truc dans la phase traitement, et pas dans le stockage de la donnée, pas besoin d'une balise speciale pour reconnaitre un mail, et les exports sont simplifiés. Inconvenient, pas moyen de rendre "sensible" autre chose qu'une regex generique(genre mail) mais en as t on besoin ?
(Enfin l'inverse peut surement se defendre aussi
)