仓酷云

标题: PHP网站制作之在PHP中显示格局化的用户输出 [打印本页]

作者: 小妖女 时间: 2015-2-4 00:29
标题: PHP网站制作之在PHP中显示格局化的用户输出
告诉你了一个方式，但是缺少努力这一环节，那也是白搭。显示你可以在这个页面下载这个文档附带的文件，也能够在文件下载中的字符处置中下载这个文档描写若何平安显示的有格局的用户输出。咱们将会商没有经由过滤的输入的风险，给出一个平安的显示格局化输入的办法。

　　没有过滤输入的风险

　　假如你仅仅取得用户的输出然后显示它，你能够会损坏你的输入页面，如一些人能歹意地在他们提交的输出框中嵌入javascript剧本：

This is my comment.

＜script language="javascript:

alert('Do something bad here!')">.

　　如许，即便用户不是歹意的，也会损坏你的一些HTML的语句，如一个表格俄然中止，或是页面显示不完全。

　　只显示无格局的文本

　　这是一个最复杂的处理计划，你只是将用户提交的信息显示为无格局的文本。利用htmlspecialchars()函数，将转化全体的字符为HTML的编码。

　　如＜b>将改变为<b>，这可以包管不会成心想不到的HTML标志在不恰当的时分输入。

　　这是一个好的处理计划，假如你的用户只存眷没有格局的文本内容。然而，假如你给出一些可以格局化的才能，它将更好一些。

Formatting with Custom Markup Tags

用户本人的标志作格局化

　　你可以供应特别的标志给用户利用，例如，你可以答应利用...减轻显示，...斜体显示，如许做复杂的查找交换操作就能够了： $output = str_replace("", "＜b>", $output);

$output = str_replace("", "＜i>", $output);

　　再作的好一点，咱们可以答应用户键入一些链接。例如，用户将答应输出[link="url"]...[/link]，咱们将转换为＜a href="">...＜/a>语句

　　这时候，咱们不克不及利用一个复杂的查找交换，应当利用正则表达式停止交换：

$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);

ereg_replace()的履行就是：

查找呈现[link="..."]的字符串，利用＜a href="..."> 交换它

[[:graph:]]的寄义是任何非空字符，有关正则表达式请看相干的文章。

　　在outputlib.php的format_output()函数供应这些标志的转换，整体上的准绳是：

　　挪用htmlspecialchars()将HTML标志转换成特别编码，将不应显示的HTML标志过滤失落，然后，将一系列咱们自界说的标志转换响应的HTML标志。

请参看上面的源代码：

＜?php

function format_output($output) {

/****************************************************************************

* Takes a raw string ($output) and formats it for output using a special

* stripped down markup that is similar to HTML

****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */

$output = str_replace('[p]', '＜p>', $output);

/* bold */

$output = str_replace('', '＜b>', $output);

$output = str_replace('', '＜/b>', $output);

/* italics */

$output = str_replace('', '＜i>', $output);

$output = str_replace('', '＜/i>', $output);

/* preformatted */

$output = str_replace('[pre]', '＜pre>', $output);

$output = str_replace('[/pre]', '＜/pre>', $output);

/* indented blocks (blockquote) */

$output = str_replace('
', '＜blockquote>', $output);

$output = str_replace('
', '＜/blockquote>', $output);

/* anchors */

$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '＜a name="\\1">＜/a>', $output);

/* links, note we try to prevent javascript in links */

$output = str_replace('[link="javascript', '[link=" javascript', $output);

$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);

$output = str_replace('[/link]', '＜/a>', $output);

return nl2br($output);

}

?>

一些注重的中央:

　　记住交换自界说标志生成HTML标志字符串是在挪用htmlspecialchars()函数以后，而不是在这个挪用之前，不然你的艰辛的任务在挪用htmlspecialchars()后将付之东流。

　　在经由转换以后，查找HTML代码将是交换过的，如双引号"将成为"

nl2br()函数将回车换行符转换为＜br>标志，也要在htmlspecialchars()以后。

　　当转换[links=""] 到＜a href="">, 你必需确认提交者不会拔出javascript剧本，一个复杂的办法去更改[link="javascript 到 [link=" javascript, 这类体例将不交换，只是将本来的代码显示出来。

outputlib.php

在阅读器中挪用test.php，可以看到format_output() 的利用情形

正常的HTML标志不克不及被利用,用以下的特别标志交换它:

- this is bold

- this is italics

- this is [link="http://www.phpbuilder.com"]a link[/link]

- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落

[pre]事后格局化[/pre]

交织文本

这些只是很少的标志，固然，你可以依据你的需求随便到场更多的标志

Conclusion

　　结论

　　这个会商供应平安显示用户输出的办法，可使用鄙人列法式中

留言板

用户建议

体系通知布告

BBS体系刚开始写页面程序，调试完书中的例子。然后就可以尝试编写留言板了，
作者: 因胸联盟 时间: 2015-2-4 13:13
最后祝愿，php会给你带来快乐的同时你也会给他带来快乐。
作者: 再见西城 时间: 2015-2-7 23:55
多看优秀程序员编写的代码，仔细理解他们解决问题的方法，对自身有很大的帮助。
作者: 分手快乐 时间: 2015-2-23 17:25
写js我最烦的就是 ie 和 firefox下同样的代码结果显示的结果千差万别，还是就是最好不要用遨游去调试，因为有时候遨游是禁用js的，有可能代码是争取结果被遨游折腾的认为是代码写错。
作者: 爱飞 时间: 2015-2-27 16:47
因为blog这样的可以让你接触更多要学的知识，可以接触用到类，模板，js ，ajax
作者: 仓酷云 时间: 2015-3-5 03:41
,熟悉html,能用div+css，还有javascript，优先考虑linux。我在开始学习的时候，就想把这些知识一起学习，我天真的认为同时学习能够互相呼应，因为知识是相通的。
作者: 小女巫 时间: 2015-3-10 12:08
这些都是最基本最常用功能，我们这些菜鸟在系统学习后，可以先对这些功能深入研究。
作者: 莫相离 时间: 2015-3-11 13:23
兴趣是最好的老师，百度是最好的词典。
作者: 谁可相欹 时间: 2015-3-18 13:30
使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。
作者: admin 时间: 2015-3-22 05:10
,熟悉html,能用div+css，还有javascript，优先考虑linux。我在开始学习的时候，就想把这些知识一起学习，我天真的认为同时学习能够互相呼应，因为知识是相通的。
作者: 再现理想 时间: 2015-3-29 15:09
说点我烦的低级错误吧，曾经有次插入mysql的时间弄了300年结果老报错，其实mysql的时间是有限制的，大概是到203X年具体的记不清啦，囧。
作者: 蒙在股里 时间: 2015-4-1 12:08
再就是混迹于论坛啦，咱们的phpchina的论坛就很强大，提出的问题一般都是有达人去解答的，以前的帖子也要多看看也能学到不少前辈们的经验。别的不错的论坛例如php100，javaeye也是很不错的。
作者: 深爱那片海 时间: 2015-4-6 20:08
本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。
作者: 飘灵儿 时间: 2015-4-7 14:38
找到的的资料很多都是在论坛里的，需要注册，所以我一般没到一个论坛都注册一个id，所有的id都注册成一样的，这样下次再进来的时候就不用重复注册啦。当然有些论坛的某些资料是需要的付费的。
作者: 精灵巫婆 时间: 2015-4-21 18:21
本人接触php时间不长，算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指，碰过不少疙瘩，呗很多小问题卡过很久，白白浪费不少宝贵的时间，在次分享一些子的学习的心得。
作者: 灵魂腐蚀 时间: 2015-4-27 19:32
爱上php，他也会爱上你。
作者: 透明 时间: 2015-6-11 14:15
使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。
作者: 第二个灵魂 时间: 2015-6-23 07:30
说php的话，首先得提一下数组，开始的时候我是最烦数组的，总是被弄的晕头转向，不过后来呢，我觉得数组里php里最强大的存储方法，所以建议新手们要学好数组。
作者: 金色的骷髅 时间: 2015-7-2 08:59
使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。
作者: 若天明 时间: 2015-7-3 02:05
兴趣是最好的老师，百度是最好的词典。
作者: 兰色精灵 时间: 2015-7-4 03:05
学好程序语言，多些才是王道，写两个小时代码的作用绝对超过看一天书，这个我是深有体会（顺便还能练打字速度）。

欢迎光临仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2