在PHP中显示格式化的用户输入
2008-05-01 04:16
393 查看
你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。
没有过滤输出的危险
如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。
只显示无格式的文本
这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。
如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。
Formatting with Custom Markup Tags
用户自己的标记作格式化
你可以提供特殊的标记给用户使用,例如,你可以允许使用...加重显示,...斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("", "<b>", $output);
$output = str_replace("", "<i>", $output);
再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...</a>语句
这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:
$output = ereg_replace('/[link="([[:graph:]]+)"/]', '<a href="//1">', $output);
ereg_replace()的执行就是:
查找出现[link="..."]的字符串,使用<a href="..."> 替换它
[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。
在outputlib.PHP的format_output()函数提供这些标记的转换,总体上的原则是:
调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,然后,将一系列我们自定义的标记转换相应的HTML标记
请参看下面的源代码:
<?PHP
function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/
$output = htmlspecialchars(stripslashes($output));
/* new paragraph */
$output = str_replace('[p]', '<p>', $output);
/* bold */
$output = str_replace('[b]', '<b>', $output);
$output = str_replace('', '</b>', $output);
/* italics */
$output = str_replace('[i]', '<i>', $output);
$output = str_replace('', '</i>', $output);
/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);
/* indented blocks (blockquote) */
$output = str_replace('[indent]', '<blockquote>', $output);
$output = str_replace('[/indent]', '</blockquote>', $output);
/* anchors */
$output = ereg_replace('/[anchor="([[:graph:]]+)"/]', '<a name="//1"></a>', $output);
/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('/[link="([[:graph:]]+)"/]', '<a href="//1">', $output);
$output = str_replace('[/link]', '</a>', $output);
return nl2br($output);
}
?>
一些注意的地方:
记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。
在经过转换之后,查找HTML代码将是替换过的,如双引号"将成为"
nl2br()函数将回车换行符转换为<br>标记,也要在htmlspecialchars()之后。
共2页: 上一页 1 [2] 下一页
相关文章推荐
- PHP中显示格式化的用户输入
- PHP中显示格式化的用户输入
- JS+PHP实现用户输入数字后取得最大的值并显示为第几个
- JS+PHP实现用户输入数字后取得最大的值并显示为第几个
- JS+PHP实现用户输入数字后显示最大的值及所在位置
- php中filter函数验证、过滤用户输入的数据
- 第4章 处理用户输入与显示数据------------(默读与文件读取)
- JavaScript对INPUT输入的格式化显示 - 数字每隔3位加逗号
- prompt() 方法用于显示可提示用户进行输入的对话框
- 显示InputDialog输入对话框实现对用户输入的英文单词进行简单处理
- 输入两个数,并显示他们,但拒绝接受两个数都大于10的情况,且要求用户从新输入.看看其中的一个(但不是两个)是否大于10.
- 第4章 处理用户输入与显示数据------------(getopt命令)
- JQuery textlimit 显示用户输入的字符数 限制用户输入的字符数
- php判断用户输入验证码是否正确
- PHP 表单和用户输入
- php 打印格式化显示利器 <pre>
- 禁止输入框显示用户历史输入历史记录
- PHP开发不能违背的安全规则 过滤用户输入
- PHP用户输入安全过滤
- 编写一个程序,对用户输入的任意一组数字字符如{3,1,4,7,2,1,1,2,2},输出其中出现次数最多的字符,并显示其出现次数。如果有多个字符出现次数均为最大且相等,则输出最先出现的那个字符和它出现