仓酷云

标题: PHP教程之PHP中显示格局化的用户输出 [打印本页]

作者: 萌萌妈妈 时间: 2015-2-4 00:28
标题: PHP教程之PHP中显示格局化的用户输出
学习数据库了，MYSQL可算是PHP的黄金搭档了，不过，虽然话是这么说，你也可能恨不得把MYSQL给生吞活剥了，因为这一行一列的东东简直让自己头晕目眩。显示你可以在这个页面下载这个文档附带的文件，也能够在文件下载中的字符处置中下载这个文档描写若何平安显示的有格局的用户输出。咱们将会商没有经由过滤的输入的风险，给出一个平安的显示格局化输入的办法。

没有过滤输入的风险

　　假如你仅仅取得用户的输出然后显示它，你能够会损坏你的输入页面，如一些人能歹意地在他们提交的输出框中嵌入javascript剧本：

This is my comment.
＜script language="javascript:
alert('Do something bad here!')">.

　　如许，即便用户不是歹意的，也会损坏你的一些HTML的语句，如一个表格俄然中止，或是页面显示不完全。

只显示无格局的文本

　　这是一个最复杂的处理计划，你只是将用户提交的信息显示为无格局的文本。利用htmlspecialchars()函数，将转化全体的字符为HTML的编码。

　　如＜b>将改变为<b>，这可以包管不会成心想不到的HTML标志在不恰当的时分输入。
这是一个好的处理计划，假如你的用户只存眷没有格局的文本内容。然而，假如你给出一些可以格局化的才能，它将更好一些。
Formatting with Custom Markup Tags
用户本人的标志作格局化

　　你可以供应特别的标志给用户利用，例如，你可以答应利用...减轻显示，...斜体显示，如许做复杂的查找交换操作就能够了： $output = str_replace("", "＜b>", $output);
$output = str_replace("", "＜i>", $output);

　　再作的好一点，咱们可以答应用户键入一些链接。例如，用户将答应输出[link="url"]...[/link]，咱们将转换为＜a href="">...＜/a>语句

　　这时候，咱们不克不及利用一个复杂的查找交换，应当利用正则表达式停止交换：
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);

ereg_replace()的履行就是：
查找呈现[link="..."]的字符串，利用＜a href="..."> 交换它
[[:graph:]]的寄义是任何非空字符，有关正则表达式请看相干的文章。

　　在outputlib.php的format_output()函数供应这些标志的转换，整体上的准绳是：
挪用htmlspecialchars()将HTML标志转换成特别编码，将不应显示的HTML标志过滤失落，
然后，将一系列咱们自界说的标志转换响应的HTML标志。
请参看上面的源代码：
＜?php

function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */
$output = str_replace('[p]', '＜p>', $output);

/* bold */
$output = str_replace('', '＜b>', $output);
$output = str_replace('', '＜/b>', $output);

/* italics */
$output = str_replace('', '＜i>', $output);
$output = str_replace('', '＜/i>', $output);

/* preformatted */
$output = str_replace('[pre]', '＜pre>', $output);
$output = str_replace('[/pre]', '＜/pre>', $output);

/* indented blocks (blockquote) */
$output = str_replace('
', '＜blockquote>', $output);
$output = str_replace('
', '＜/blockquote>', $output);

/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '＜a name="\\1">＜/a>', $output);

/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);
$output = str_replace('[/link]', '＜/a>', $output);

return nl2br($output);
}

?>

一些注重的中央:

　　记住交换自界说标志生成HTML标志字符串是在挪用htmlspecialchars()函数以后，而不是在这个挪用之前，不然你的艰辛的任务在挪用htmlspecialchars()后将付之东流。

　　在经由转换以后，查找HTML代码将是交换过的，如双引号"将成为"

nl2br()函数将回车换行符转换为＜br>标志，也要在htmlspecialchars()以后。

　　当转换[links=""] 到＜a href="">, 你必需确认提交者不会拔出javascript剧本，一个复杂的办法去更改[link="javascript 到 [link=" javascript, 这类体例将不交换，只是将本来的代码显示出来。

outputlib.php
在阅读器中挪用test.php，可以看到format_output() 的利用情形

正常的HTML标志不克不及被利用,用以下的特别标志交换它:

- this is bold
- this is italics
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落
[pre]事后格局化[/pre]

交织文本

这些只是很少的标志，固然，你可以依据你的需求随便到场更多的标志

Conclusion
结论

这个会商供应平安显示用户输出的办法，可使用鄙人列法式中

留言板
用户建议
体系通知布告
BBS体系
在这里想谈谈自己这六个多月的PHP学习心得，希望对给比我还新的新手们有所帮助，讲的不是很深刻，甚至有的想法可能是错误的，希望不要误导新人才好，大家要有自己的主见。
作者: 深爱那片海 时间: 2015-2-4 13:12
最后祝愿，php会给你带来快乐的同时你也会给他带来快乐。
作者: 再见西城 时间: 2015-2-9 22:03
首推的搜索引擎当然是Google大神，其次我比较喜欢百度知道。不过搜出来的结果往往都是大家copy来copy去的，运气的的概率很大。
作者: 分手快乐 时间: 2015-2-27 23:23
真正的方向了，如果将来要去开发团队，你一定要学好smarty ,phplib这样的模板引擎，
作者: 乐观 时间: 2015-3-3 17:13
我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。
作者: 爱飞 时间: 2015-3-6 17:01
有时候汉字的空格也能导致页面出错，所以在写代码的时候，要输入空格最好用引文模式。
作者: 愤怒的大鸟 时间: 2015-3-13 04:21
当留言板完成的时候，下步可以把做1个单人的blog程序，做为目标，
作者: 金色的骷髅 时间: 2015-3-20 12:42
我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。
作者: 兰色精灵 时间: 2015-3-26 16:39
在我安装pear包的时候老是提示，缺少某某文件，才发现那群extension 的排列是应该有一点的顺序，而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去，只留下我需要使用的扩展。
作者: 小妖女 时间: 2015-3-27 15:09
本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。
作者: 精灵巫婆 时间: 2015-4-1 01:46
实践是检验自己会不会的真理。
作者: 若天明 时间: 2015-4-7 00:25
当留言板完成的时候，下步可以把做1个单人的blog程序，做为目标，
作者: 透明 时间: 2015-4-7 20:15
首先我是坚决反对新手上来就用框架的，因为对底层的东西一点都不了解，造成知识上的真空，会对以后的发展不利。我的观点上手了解下框架就好，代码还是手写。当然啦如果是位别的编程语言的高手的话，这个就另当别论啦。
作者: 谁可相欹 时间: 2015-4-16 06:48
真正的方向了，如果将来要去开发团队，你一定要学好smarty ,phplib这样的模板引擎，
作者: 莫相离 时间: 2015-4-23 15:55
你很难利用原理去编写自己的代码。对于php来说，系统的学习我认为还是很重要的，当你有一定理解后，你可你针对某种效果研究，我想那时你不会只是复制代码的水平了。
作者: 若相依 时间: 2015-4-25 23:57
说php的话，首先得提一下数组，开始的时候我是最烦数组的，总是被弄的晕头转向，不过后来呢，我觉得数组里php里最强大的存储方法，所以建议新手们要学好数组。
作者: 活着的死人 时间: 2015-5-5 03:06
如果你已经到这种程度了，那么你已经可以做我的老师了。其实php也分很多的区域，
作者: 变相怪杰 时间: 2015-5-6 19:11
因为blog这样的可以让你接触更多要学的知识，可以接触用到类，模板，js ，ajax
作者: 第二个灵魂 时间: 2015-5-8 11:05
在我安装pear包的时候老是提示，缺少某某文件，才发现那群extension 的排列是应该有一点的顺序，而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去，只留下我需要使用的扩展。
作者: 山那边是海 时间: 2015-6-16 16:38
没接触过框架的人，也不用害怕，其实框架就是一种命名规范及插件，学会一个框架其余的框架都很好上手的。
作者: 冷月葬花魂 时间: 2015-6-22 20:10
为了以后维护的方便最好是代码上都加上注释，“予人方便，自己方便”。此外开发文档什么的最好都弄齐全。我觉得这是程序员必备的素质。虽然会消耗点很多的时间。但是确实是非常有必要的。

欢迎光临仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2