|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
告诉你了一个方式,但是缺少努力这一环节,那也是白搭。显示 你可以在这个页面下载这个文档附带的文件,也能够在文件下载中的字符处置中下载这个文档描写若何平安显示的有格局的用户输出。咱们将会商没有经由过滤的输入的风险,给出一个平安的显示格局化输入的办法。
没有过滤输入的风险
假如你仅仅取得用户的输出然后显示它,你能够会损坏你的输入页面,如一些人能歹意地在他们提交的输出框中嵌入javascript剧本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
如许,即便用户不是歹意的,也会损坏你的一些HTML的语句,如一个表格俄然中止,或是页面显示不完全。
只显示无格局的文本
这是一个最复杂的处理计划,你只是将用户提交的信息显示为无格局的文本。利用htmlspecialchars()函数,将转化全体的字符为HTML的编码。
如<b>将改变为<b>,这可以包管不会成心想不到的HTML标志在不恰当的时分输入。
这是一个好的处理计划,假如你的用户只存眷没有格局的文本内容。然而,假如你给出一些可以格局化的才能,它将更好一些。
Formatting with Custom Markup Tags
用户本人的标志作格局化
你可以供应特别的标志给用户利用,例如,你可以答应利用...减轻显示,...斜体显示,如许做复杂的查找交换操作就能够了: $output = str_replace("", "<b>", $output);
$output = str_replace("", "<i>", $output);
再作的好一点,咱们可以答应用户键入一些链接。例如,用户将答应输出[link="url"]...[/link],咱们将转换为<a href="">...</a>语句
这时候,咱们不克不及利用一个复杂的查找交换,应当利用正则表达式停止交换:
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);
ereg_replace()的履行就是:
查找呈现[link="..."]的字符串,利用<a href="..."> 交换它
[[:graph:]]的寄义是任何非空字符,有关正则表达式请看相干的文章。
在outputlib.php的format_output()函数供应这些标志的转换,整体上的准绳是:
挪用htmlspecialchars()将HTML标志转换成特别编码,将不应显示的HTML标志过滤失落,然后,将一系列咱们自界说的标志转换响应的HTML标志。
请参看上面的源代码:
<?php
function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/
$output = htmlspecialchars(stripslashes($output));
/* new paragraph */
$output = str_replace('[p]', '<p>', $output);
/* bold */
$output = str_replace('', '<b>', $output);
$output = str_replace('', '</b>', $output);
/* italics */
$output = str_replace('', '<i>', $output);
$output = str_replace('', '</i>', $output);
/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);
/* indented blocks (blockquote) */
$output = str_replace('', '<blockquote>', $output);
$output = str_replace(' ', '</blockquote>', $output);
/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '<a name="\\1"></a>', $output);
/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);
$output = str_replace('[/link]', '</a>', $output);
return nl2br($output);
}
?>
一些注重的中央:
记住交换自界说标志生成HTML标志字符串是在挪用htmlspecialchars()函数以后,而不是在这个挪用之前,不然你的艰辛的任务在挪用htmlspecialchars()后将付之东流。
在经由转换以后,查找HTML代码将是交换过的,如双引号"将成为"
nl2br()函数将回车换行符转换为<br>标志,也要在htmlspecialchars()以后。
当转换[links=""] 到 <a href="">, 你必需确认提交者不会拔出javascript剧本,一个复杂的办法去更改[link="javascript 到 [link=" javascript, 这类体例将不交换,只是将本来的代码显示出来。
outputlib.php
在阅读器中挪用test.php,可以看到format_output() 的利用情形
正常的HTML标志不克不及被利用,用以下的特别标志交换它:
- this is bold
- this is italics
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor
[p]段落
[pre]事后格局化[/pre]
交织文本
这些只是很少的标志,固然,你可以依据你的需求随便到场更多的标志
Conclusion
结论
这个会商供应平安显示用户输出的办法,可使用鄙人列法式中
留言板
用户建议
体系通知布告
BBS体系 刚开始写页面程序,调试完书中的例子。然后就可以尝试编写留言板了, |
|