这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。 没有过滤输出的危险如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入 javascript脚本: This is my comment. <script language="javascript: alert('Do something bad here!')">. 这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。 只显示无格式的文本这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些 Formatting with Custom Markup Tags 用户自己的标记作格式化 你可以提供特殊的标记给用户使用,例如,你可以允许使用[b]...[/b]加重显示,[i]...[/i]斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("[b]", "<b>", $output); $output = str_replace("[i]", "<i>", $output); 再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...语句 这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换: $output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\1">', $output); ereg_replace()的执行就是:查找出现[link="..."]的字符串,使用<a href="..."> 替换它 [[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。 在outputlib.<a style="color:#f60; text-decoration:underline;" title= "php" href="https://www.php.cn/zt/15714.html" target="_blank">php的format_output()函数提供这些标记的转换,总体上的原则是:调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,然后,将一系列我们自定义的标记转换相应的HTML标记。 <br><br> </script>
|
以下为引用的内容: ', $output); /* bold */ $output = str_replace('[b]', '', $output); $output = str_replace('[/b]', '', $output); /* italics */ $output = str_replace('[i]', '', $output); $output = str_replace('[/i]', '', $output); /* preformatted */ $output = str_replace('[pre]', '@@######@@', $output); /* indented blocks (blockquote) */ $output = str_replace('[indent]', ' ', $output); $output = str_replace('[/indent]', '', $output); /* anchors */ $output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '', $output); /* links, note we try to prevent javascript in links */ $output = str_replace('[link="javascript', '[link=" javascript', $output); $output = ereg_replace('\[link="([[:graph:]]+)"\]', '', $output); $output = str_replace('[/link]', '', $output); return nl2br($output); } ?> |
欢迎访问 希望你能够喜欢本网站 动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包 欢迎访问 希望你能够喜欢本网站
一些注意的地方: 记住替换自定义标记生成html标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。 在经过转换之后,查找html代码将是替换过的,如双引号"将成为" nl2br()函数将回车换行符转换为
标记,也要在htmlspecialchars()之后。 当转换[links=""] 到 , 你必须确认提交者不会插入javascript脚本,一个简单的方法去更改[link="javascript 到 [link=" javascript, 这种方式将不替换,只是将原本的代码显示出来。 outputlib.php 在浏览器中调用test.php,可以看到format_output() 的使用情况 正常的html标记不能被使用,用下列的特殊标记替换它: - this is [b]bold[/b] - this is [i]italics[/i] - this is [link="http://www.phpbuilder.com"]a link[/link] - this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor [p]段落 [pre]预先格式化[/pre] [indent]交错文本[/indent] 这些只是很少的标记,当然,你可以根据你的需求随意加入更多的标记 conclusion 结论 这个讨论提供安全显示用户输入的方法,可以使用在下列程序中留言板用户建议系统公告 bbs系统
v.htm' ) ); $content = "
你好
|
以下为引用的内容: define( array( 'main' => 'main.htm', 'header' => 'header.htm', 'leftnav'=> 'leftnav.htm' ) ); $tpl->assign('TITLE', $title); ob_start(); } function pageFinish() { GLOBAL $tpl; $content = ob_get_contents(); ob_end_clean(); $tpl->assign('CONTENT', $content); $tpl->parse('HEADER', 'header'); $tpl->parse('LEFTNAV', 'leftnav'); $tpl->parse('MAIN', 'main'); $tpl->FastPrint('MAIN'); } ?> |
pageStart函数首先创建并设置了一个模板实例,然后启用输出缓存。此后,所有来自页面本身的HTML内容都将进入缓存。pageFinish函数取出缓存中的内容,然后在模板对象中指定这些内容,最后解析模板并输出完成后的页面。 这就是整个模板框架全部的工作过程了。首先编写包含了网站各个页面公共元素的模板,然后从所有页面中删除全部公共的页面布局代码,代之以三行永远无需改动的PHP代码;再把FastTemplate类文件和prepend.php加入到包含路径,这样你就得到了一个页面布局可以集中控制的网站,它有着更好的可靠性和可维护性,而且网站级的大范围修改也变得相当容易。 本文下载包包含了一个可运行的示例网站,它的代码注释要比前面的代码注释更详细一些。FastTemplate类可以在http://www.thewebmasters.net/找到,最新的版本号是1.1.0,那里还有一个用于保证该类在PHP 4中正确运行的小补丁。本文下载代码中的类已经经过该补丁的修正。
立即学习“PHP免费学习笔记(深入)”;
', $output); $output = str_replace('[/pre]', ' 
