在PHP中显示格式化的用户输入

显示

你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。

  没有过滤输出的危险

  如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:

This is my comment.

<script language="javascript:

alert('Do something bad here!')">.

  这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。

  只显示无格式的文本

  这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。

  如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。

  这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。

Formatting with Custom Markup Tags

用户自己的标记作格式化

  你可以提供特殊的标记给用户使用,例如,你可以允许使用...加重显示,...斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("", "<b>", $output);

$output = str_replace("", "<i>", $output);

  再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...</a>语句

  这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:

$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);

ereg_replace()的执行就是:

查找出现[link="..."]的字符串,使用<a href="..."> 替换它

[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。

  在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:

  调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,然后,将一系列我们自定义的标记转换相应的HTML标记。

请参看下面的源代码:

<?php

function format_output($output) {

/****************************************************************************

* Takes a raw string ($output) and formats it for output using a special

* stripped down markup that is similar to HTML

****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */

$output = str_replace('[p]', '<p>', $output);

/* bold */

$output = str_replace('[b]', '<b>', $output);

$output = str_replace('', '</b>', $output);

/* italics */

$output = str_replace('[i]', '<i>', $output);

$output = str_replace('', '</i>', $output);

/* preformatted */

$output = str_replace('[pre]', '<pre>', $output);

$output = str_replace('[/pre]', '</pre>', $output);

/* indented blocks (blockquote) */

$output = str_replace('[indent]', '<blockquote>', $output);

$output = str_replace('[/indent]', '</blockquote>', $output);

/* anchors */

$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '<a name="\\1"></a>', $output);

/* links, note we try to prevent javascript in links */

$output = str_replace('[link="javascript', '[link=" javascript', $output);

$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);

$output = str_replace('[/link]', '</a>', $output);

return nl2br($output);

}

?>

一些注意的地方:

  记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。

  在经过转换之后,查找HTML代码将是替换过的,如双引号"将成为"

nl2br()函数将回车换行符转换为<br>标记,也要在htmlspecialchars()之后。

  当转换[links=""] 到 <a href="">, 你必须确认提交者不会插入javascript脚本,一个简单的方法去更改[link="javascript 到 [link=" javascript, 这种方式将不替换,只是将原本的代码显示出来。

outputlib.php

在浏览器中调用test.php,可以看到format_output() 的使用情况

正常的HTML标记不能被使用,用下列的特殊标记替换它:

- this is bold

- this is italics

- this is [link="http://www.phpbuilder.com"]a link[/link]

- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落

[pre]预先格式化[/pre]

[indent]交错文本[/indent]

这些只是很少的标记,当然,你可以根据你的需求随意加入更多的标记

Conclusion

  结论

  这个讨论提供安全显示用户输入的方法,可以使用在下列程序中

留言板

用户建议

系统公告

BBS系统

时间: 2024-12-23 07:14:12

在PHP中显示格式化的用户输入的相关文章

PHP中显示格式化的用户输入

显示 你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入.我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法. 没有过滤输出的危险 如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本: This is my comment. <script language="javascript: alert('Do something bad

PHP中显示格式化的用户输入_php基础

你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入.我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法. 没有过滤输出的危险 如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本: This is my comment. <script language="javascript: alert('Do something bad he

winform-如何判断textbox中的数据是用户输入的还是默认值

问题描述 如何判断textbox中的数据是用户输入的还是默认值 如题.大体意思是这样的 一个注册窗体 textbox中有默认值 如:请输入字符.数字. 当点击提交按钮的时候 怎么判断是不是用户输入的用户名还是 原本之前就有的默认值呢? 现在点击按钮 因为textbox中有默认值 所以 判断是正确的 请问 这里应该怎么写? 解决方案 加个on_change事件,有值发生变化就是用户输入的 解决方案二: 比如你按button1就去检测textBox1_TextChanged是否发生 button1.

dialog工具中,访问用户输入的结果为什么要重定向&amp;amp;quot;标准错误流&amp;amp;quot;?而不是“标准输出流”?

问题描述 dialog工具中,访问用户输入的结果为什么要重定向"标准错误流"?而不是"标准输出流"? 标题限制,完整问题为------dialog工具中,对于文本输入,访问用户输入的结果为什么要重定向"标准错误流"?而不是"标准输出流"? 看Neil Matthew著的<Linux程序设计>65页中关于dialog访问用户输入结果的一点思考,想知道其中的一些机制.小白求助亲们解答一些,谢谢. 解决方案 iunx 下

正则表达式检测用户输入的email地址是否合法

 在注册系统开发中,需要检测用户输入的email地址是否合法,都可以使用正则表达式来检测,下面有个小例子,希望对大家有所帮助 在注册系统开发中,需要检测用户输入的email地址是否合法,可以在js或者php中检测,但是差别不大,都可以使用正则表达式来检测.    下面是js的一个例子:  代码如下: function validateEmail(email) {  var re = /^(([^<>()[].,;:s@"]+(.[^<>()[].,;:s@"]+

visual studio-vs2013没能加载项目中的数据,显示是该项目需要用户输入。

问题描述 vs2013没能加载项目中的数据,显示是该项目需要用户输入. vs2013不能加载内容 解决方案 可能你打开的项目是.net 3.5的,你没有安装.net framework.或者缺少第三方的组件.

winform-VS2010 Winform如何将用户登录中输入的用户名传给主程序,并且在label中显示?

问题描述 VS2010 Winform如何将用户登录中输入的用户名传给主程序,并且在label中显示? VS2010 Winform如何将用户登录中输入的用户名传给主程序,并且在label中显示? 解决方案 http://bbs.csdn.net/topics/360140208/ 解决方案二: 有很多途径可以实现,最基本的有: 1) 消息 2) 全局变量 解决方案三: 窗体构造函数传参数

ASP.NET中用户输入文本的HTML解析办法

asp.net|asp.net 网页中用TextBox让用户输入文本,然后存入数据库,再从数据库中读出显示在页面上.常常这样做会遇到不少问题,因为TextBox实际上是一个Windows组件,和网页显示标记如:<p>,<td>,<div>等,对字符的解析方法是不同的.比如前者的换行标记为"\r\n",而后者为"<br>".这就带来一个转换的问题. 在做转换之前,先来考虑几个问题: 1. TextBox用"\r

怎么判断用户输入的文章中的其中一部分是代码?

问题描述 请问怎么判断用户输入的文章中的其中一部分是编程语言代码?怎么判断是代码的开始,代码的结束?我想为代码部分做特别显示,例如做一个框框,再加行号等等 解决方案 解决方案二:你学csdn在回复的时候就让用户自己标注哪些是代码模块多好解决方案三:学学csdn--解决方案四:在网页中自动判断代码从哪里开始可不行,csdn也是用户手工输入的代码,然后给代码指定css格式而已.特别的显示需要使用css,请参考csdn.解决方案五:[code][/code]只能这么干解决方案六:在输入的时候弄个标记,