订阅 我們將討論沒有經過過濾的輸出的危險,給出一個安全的顯示格式化輸出的方法。
沒有過濾輸出的危險
如果你僅僅獲得用戶的輸入然後顯示它,你可能會破壞你的輸出頁面,如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
這樣,即使用戶不是惡意的,也會破壞你的一些HTML的語句,如一個表格突然中斷,或是頁面顯示不完整。
只顯示無格式的文本
這是一個最簡單的解決方案,你只是將用戶提交的信息顯示爲無格式的文本。使用htmlspecialchars()函數,將轉化全部的字符爲HTML的編碼。
如<b>將轉變爲<b>,這可以保證不會有意想不到的HTML標記在不適當的時候輸出。
這是一個好的解決方案,如果你的用戶只關注沒有格式的文本內容。但是,如果你給出一些可以格式化的能力,它將更好一些。
Formatting with Custom Markup Tags
用戶自己的標記作格式化
你可以提供特殊的標記給用戶使用,例如,你可以允許使用...加重顯示,...斜體顯示,這樣做簡單的查找替換操作就可以了: $output = str_replace("", "<b>", $output);
$output = str_replace("", "<i>", $output);
再作的好一點,我們可以允許用戶鍵入一些鏈接。例如,用戶將允許輸入[link="url"]...[/link],我們將轉換爲<a href="">...</a>語句
這時,我們不能使用一個簡單的查找替換,應該使用正則表達式進行替換:
$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="1">', $output);
ereg_replace()的執行就是:
查找出現[link="..."]的字符串,使用<a href="..."> 替換它
[[:graph:]]的含義是任何非空字符,有關正則表達式請看相關的文章。
在outputlib.php的format_output()函數提供這些標記的轉換,總體上的原則是:中國網管聯盟bitsCN.com
調用htmlspecialchars()將HTML標記轉換成特殊編碼,將不該顯示的HTML標記過濾掉,然後,將一系列我們自定義的標記轉換相應的HTML標記。
請參看下面的源代碼:
<?php
function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/
$output = htmlspecialchars(stripslashes($output));
/* new paragraph */
$output = str_replace('[p]', '<p>', $output);
/* bold */
$output = str_replace('[b]', '<b>', $output);
$output = str_replace('', '</b>', $output);
/* italics */
$output = str_replace('[i]', '<i>', $output);
$output = str_replace('', '</i>', $output);網管bitscn_com
/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);
/* indented blocks (blockquote) */
$output = str_replace('[indent]', '<blockquote>', $output);
$output = str_replace('[/indent]', '</blockquote>', $output);
/* anchors */
$output = ereg_replace('[anchor="([[:graph:]]+)"]', '<a name="\1"></a>', $output);
/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="\1">', $output);
$output = str_replace('[/link]', '</a>', $output);
return nl2br($output);
}
?>
一些注意的地方:
記住替換自定義標記生成HTML標記字符串是在調用htmlspecialchars()函數之後,而不是在這個調用之前,否則你的艱苦的工作在調用htmlspecialchars()後將付之東流。網管bitscn_com
在經過轉換之後,查找HTML代碼將是替換過的,如雙引號"將成爲"
nl2br()函數將回車換行符轉換爲<br>標記,也要在htmlspecialchars()之後。
當轉換[links=""] 到 <a href="">, 你必須確認提交者不會插入javascript腳本,一個簡單的方法去更改[link="javascript 到 [link=" javascript, 這種方式將不替換,只是將原本的代碼顯示出來。
outputlib.php
在浏覽器中調用test.php,可以看到format_output() 的使用情況
正常的HTML標記不能被使用,用下列的特殊標記替換它:
- this is bold
- this is italics
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor
[p]段落
[pre]預先格式化[/pre]
[indent]交錯文本[/indent]
這些只是很少的標記,當然,你可以根據你的需求隨意加入更多的標記網管聯盟bitsCN@com
Conclusion
結論
這個討論提供安全顯示用戶輸入的方法,可以使用在下列程序中
留言板
用戶建議
系統公告
BBS系統
| 笑話軍事旅遊美容女性百態母嬰家電遊戲互聯網財經美女幹貨家飾健康探索資源娛樂學院 數碼美食景區養生手機購車首飾美妝裝修情感篇廚房科普動物植物編程百科知道汽車珠寶 健康評測品位娛樂居家情感星座服飾美體奢侈品美容達人親子圖庫折扣生活美食花嫁風景 | |
在PHP中顯示格式化的用戶輸入
日版寵物情人2017的插曲,很帶節奏感,日語的,女生唱的。 最後聽見是在第8集的時候女主手割傷了,然後男主用嘴幫她吸了一下,插曲就出來了。 歌手:Def...
把牛仔褲磨出有線的破洞 1、具體工具就是磨腳石,下面墊一個硬物,然後用磨腳石一直磨一直磨,到把那塊磨薄了,用手撕開就好了。出來的洞啊很自然的。需要貓須的話調幾...
你就是我最愛的寶寶 - 李溪芮 (電視劇《極品家丁》片尾曲) 作詞:常馨內 作曲:常馨內 你的眉 又鬼馬的挑 你的嘴 又壞壞的笑 上一秒吵鬧 下...
烏梅,又稱春梅,中醫認爲,烏梅味酸,性溫,無毒,具有安心、除熱、下氣、祛痰、止渴調中、殺蟲的功效,治肢體痛、肺痨病。烏梅泡水喝能治傷寒煩熱、止吐瀉,與幹姜一起制...
來源:中國青年報 新的攻擊方法不斷湧現,黑客幾乎永遠占據網絡攻擊的上風,我們不可能通過技術手段杜絕網絡攻擊。國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰...
夫妻網絡直播“造人”爆紅 1月9日,溫嶺城北派出所接到南京警方的協查通告,他們近期打掉了一個涉黃直播APP平台。而根據掌握的線索,其中有一對涉案的夫妻主播...
觀點一:破日本銷售量的“鮮肌之謎” 非日本生産 近一段時間,淘寶上架了一款名爲“鮮肌之謎的” 鲑魚卵巢美容液,號稱是最近日本的一款推出的全新護膚品,産品本身所...
據英國《每日快報》報道,一位科學家兼理論家Robert Lanza博士宣稱,世界上並不存在人類死亡,死亡的只是身體。他認爲我們的意識借助我們體內的能量生存,而且...
《屏裏狐》片頭曲《我愛狐狸精》歌詞是什麽?
《我愛狐狸精》 - 劉馨棋 (電視劇《屏裏狐》主題曲) 作詞:金十三&李旦 作曲:劉嘉 狐狸精 狐狸仙 千年修...
我們將討論沒有經過過濾的輸出的危險,給出一個安全的顯示格式化輸出的方法。
沒有過濾輸出的危險
如果你僅僅獲得用戶的輸入然後顯示它,你可能會破壞你的輸出頁面,如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
這樣,即使用戶不是惡意的,也會破壞你的一些HTML的語句,如一個表格突然中斷,或是頁面顯示不完整。
只顯示無格式的文本
這是一個最簡單的解決方案,你只是將用戶提交的信息顯示爲無格式的文本。使用htmlspecialchars()函數,將轉化全部的字符爲HTML的編碼。
如<b>將轉變爲<b>,這可以保證不會有意想不到的HTML標記在不適當的時候輸出。
這是一個好的解決方案,如果你的用戶只關注沒有格式的文本內容。但是,如果你給出一些可以格式化的能力,它將更好一些。
Formatting with Custom Markup Tags
用戶自己的標記作格式化
你可以提供特殊的標記給用戶使用,例如,你可以允許使用[b]...[/b]加重顯示,[i]...[/i]斜體顯示,這樣做簡單的查找替換操作就可以了: $output = str_replace("[b]", "<b>", $output);
$output = str_replace("[i]", "<i>", $output);
再作的好一點,我們可以允許用戶鍵入一些鏈接。例如,用戶將允許輸入[link="url"]...[/link],我們將轉換爲<a href="">...</a>語句
這時,我們不能使用一個簡單的查找替換,應該使用正則表達式進行替換:
$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="\1">', $output);
ereg_replace()的執行就是:
查找出現[link="..."]的字符串,使用<a href="..."> 替換它
[[:graph:]]的含義是任何非空字符,有關正則表達式請看相關的文章。
在outputlib.php的format_output()函數提供這些標記的轉換,總體上的原則是:中國網管聯盟bitsCN.com
調用htmlspecialchars()將HTML標記轉換成特殊編碼,將不該顯示的HTML標記過濾掉,然後,將一系列我們自定義的標記轉換相應的HTML標記。
請參看下面的源代碼:
<?php
function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/
$output = htmlspecialchars(stripslashes($output));
/* new paragraph */
$output = str_replace('[p]', '<p>', $output);
/* bold */
$output = str_replace('[b]', '<b>', $output);
$output = str_replace('[/b]', '</b>', $output);
/* italics */
$output = str_replace('[i]', '<i>', $output);
$output = str_replace('[/i]', '</i>', $output);網管bitscn_com
/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);
/* indented blocks (blockquote) */
$output = str_replace('[indent]', '<blockquote>', $output);
$output = str_replace('[/indent]', '</blockquote>', $output);
/* anchors */
$output = ereg_replace('[anchor="([[:graph:]]+)"]', '<a name="\1"></a>', $output);
/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="\1">', $output);
$output = str_replace('[/link]', '</a>', $output);
return nl2br($output);
}
?>
一些注意的地方:
記住替換自定義標記生成HTML標記字符串是在調用htmlspecialchars()函數之後,而不是在這個調用之前,否則你的艱苦的工作在調用htmlspecialchars()後將付之東流。網管bitscn_com
在經過轉換之後,查找HTML代碼將是替換過的,如雙引號"將成爲"
nl2br()函數將回車換行符轉換爲<br>標記,也要在htmlspecialchars()之後。
當轉換[links=""] 到 <a href="">, 你必須確認提交者不會插入javascript腳本,一個簡單的方法去更改[link="javascript 到 [link=" javascript, 這種方式將不替換,只是將原本的代碼顯示出來。
outputlib.php
在浏覽器中調用test.php,可以看到format_output() 的使用情況
正常的HTML標記不能被使用,用下列的特殊標記替換它:
- this is [b]bold[/b]
- this is [i]italics[/i]
- this is [link="[url=http://www.phpbuilder.com]http://www.phpbuilder.com"]a[/url] link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor
[p]段落
[pre]預先格式化[/pre]
[indent]交錯文本[/indent]
這些只是很少的標記,當然,你可以根據你的需求隨意加入更多的標記網管聯盟[url=mailto:bitsCN@com]bitsCN@com[/url]
Conclusion
結論
這個討論提供安全顯示用戶輸入的方法,可以使用在下列程序中
留言板
用戶建議
系統公告
BBS系統
免責聲明:本文僅代表作者個人觀點,與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
© 2005- 王朝網路 版權所有