Witam
Chcę na swojej stronie umieścic opcje dodawania filmików z yt. Jakoś specjalnie się nad tym nie zastanawiałem, wymyslilem z kopa krótki kod i chcialbym sie tylko upewnić czy jest on bezpieczny, ew. czy istnieje jakiś lepszy sposób. Z góry dziekuje za wszystkie odpowiedzi

kod:

[PHP] pobierz, plaintext 
$link=$_POST['yt_link'];
$link=htmlentities(mysql_real_escape_string($link));
 
//przywrocenie & po htmlentities
$link=str_replace("&","&",$link);
 
//wyszukanie wystapienia youtube
if(preg_match_all("/.*youtube/",$link,$match)!= false)
{
	$found=$match[0][0];//ciąg typu http://www.youtube
	$linkLen=strlen($link);
	$correct=0;
 
	$i=strlen($found);
	while($i<$linkLen) //wyszukanie .com, .pl itd.
	{
		if($link[$i]=="/")
		{
			$correct=1;
			break;
		}
		else $i++;
	}
 
	if($correct==0)
	{
		echo "nieporawny";
	}
	else
	{
		$verifiedLink="http://youtube.com".substr($link,$i,$linkLen); //podmiana calego ciagu zakonczonego na np. youtube.com na http://youtube.com
	}
}
else echo "niepoprawny";
[PHP] pobierz, plaintext 

W ten sposob oczywiscie ktos moze wrzucic niepoprawny link, ale nie bedzie on niebezpieczny, w tym kodzie generalnie chodzi o to, zeby bezwzgledny link wskazywal na youtube. Tak wiec prosze o ew. potwierdzenie czy to jest poprawnie oraz sugestie polepszenia(w kwestii bezpieczenstwa). Z góry dziekuje za wszystkie odpowiedzi

Co to jest niebezpieczny link?
Czy niebezpiecznym linkiem jest link do innej strony?

Co do walidacji linka nie prościej jest sprawdzić czy pierwsze 20 znaków stringa to "http://youtube.com/" ?
Nie da się się tu nic oszukać (porobić jakiś sudomeny czy inne pseudolinki) bo sprawdzasz od protokołu do domeny.


edit: ewentualnie link www bo youtube robi przekierowanie bez "www" na "z www".

Link do innej strony niz yt jest co najmniej niepożądany, a niebezpieczny też moze byc
Taka walidacja to nie bardzo, bo odrzucaloby poprawne linki np. bez "http://" tez jest poprawny, podobnie z domena np. ".pl" jest poprawny, wiec teoretycznie jest to prostsze, ale z kolei bardzo nieprzyjazne dla uzytkownikow

Możesz próbować wyciągać z podanego url'a samo id video, czyli to co wygląda np. tak: aMpSuYOSiWg (po watch?v= )i wstawiać to na stronie doklejając przy wyświetlaniu http://youtube.com/watch?v=$id. Oczywiście linki mogą zawierać dodatkowo jakieś &feature=related czy coś, więc dobrze to sobie wydrzyj. Chyba nie do ominięcia.

Ale to na pewno tylko jeden z wielu sposobów.

Do iframe'a musi być link typu youtube.com/embed/id, więc w zasadzie to dobry pomysł żeby wyciągać id ponieważ wtedy moge tworzyć poprawne linki do iframe'a, tak wiec dzieki za odp

A tru masz przyjemny regex dla wyciągania ID:

[PHP] pobierz, plaintext 
"http(?:s)?://(?:video\.google\.(?:com|com\.au|co\.uk|de|es|fr|it|nl|pl|ca|cn)/(?:[^"]*?))?(?:(?:www|au|br|ca|es|fr|de|hk|ie|in|il|it|jp|kr|mx|nl|nz|pl|ru|tw|uk)\.)?youtube\.com(?:[^"]*?)?(?:&|&|/|\?|;|\%3F|\%2F)(?:video_id=|v(?:/|=|\%3D|\%2F))([0-9a-z-_]{11})"
[PHP] pobierz, plaintext