當前位置: 王朝網路 >> php >> 在PHP中顯示格式化的用戶輸入

在PHP中顯示格式化的用戶輸入

王朝php·作者佚名 2008-12-22

窄屏简体版字體: 小|中|大|超大

我們將討論沒有經過過濾的輸出的危險，給出一個安全的顯示格式化輸出的方法。

沒有過濾輸出的危險

如果你僅僅獲得用戶的輸入然後顯示它，你可能會破壞你的輸出頁面，如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本：

This is my comment.

＜script language="javascript:

alert('Do something bad here!')">.

這樣，即使用戶不是惡意的，也會破壞你的一些HTML的語句，如一個表格突然中斷，或是頁面顯示不完整。

只顯示無格式的文本

這是一個最簡單的解決方案，你只是將用戶提交的信息顯示為無格式的文本。使用htmlspecialchars()函數，將轉化全部的字符為HTML的編碼。

如＜b>將轉變為<b>，這可以保證不會有意想不到的HTML標記在不適當的時候輸出。

這是一個好的解決方案，如果你的用戶只關註沒有格式的文本內容。但是，如果你給出一些可以格式化的能力，它將更好一些。

Formatting with Custom Markup Tags

用戶自己的標記作格式化

你可以提供特殊的標記給用戶使用，例如，你可以允許使用...加重顯示，...斜體顯示，這樣做簡單的查找替換操作就可以了： $output = str_replace("", "＜b>", $output);

$output = str_replace("", "＜i>", $output);

再作的好一點，我們可以允許用戶鍵入一些鏈接。例如，用戶將允許輸入[link="url"]...[/link]，我們將轉換為＜a href="">...＜/a>語句

這時，我們不能使用一個簡單的查找替換，應該使用正則表達式進行替換：

$output = ereg_replace('[link="([[:graph:]]+)"]', '＜a href="1">', $output);

ereg_replace()的執行就是：

查找出現[link="..."]的字符串，使用＜a href="..."> 替換它

[[:graph:]]的含義是任何非空字符，有關正則表達式請看相關的文章。

在outputlib.php的format_output()函數提供這些標記的轉換，總體上的原則是：中國網管聯盟bitsCN.com

調用htmlspecialchars()將HTML標記轉換成特殊編碼，將不該顯示的HTML標記過濾掉，然後，將一系列我們自定義的標記轉換相應的HTML標記。

請參看下面的源代碼：

＜?php

function format_output($output) {

/****************************************************************************

* Takes a raw string ($output) and formats it for output using a special

* stripped down markup that is similar to HTML

****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */

$output = str_replace('[p]', '＜p>', $output);

/* bold */

$output = str_replace('[b]', '＜b>', $output);

$output = str_replace('', '＜/b>', $output);

/* italics */

$output = str_replace('[i]', '＜i>', $output);

$output = str_replace('', '＜/i>', $output);網管bitscn_com

/* preformatted */

$output = str_replace('[pre]', '＜pre>', $output);

$output = str_replace('[/pre]', '＜/pre>', $output);

/* indented blocks (blockquote) */

$output = str_replace('[indent]', '＜blockquote>', $output);

$output = str_replace('[/indent]', '＜/blockquote>', $output);

/* anchors */

$output = ereg_replace('[anchor="([[:graph:]]+)"]', '＜a name="\1">＜/a>', $output);

/* links, note we try to prevent javascript in links */

$output = str_replace('[link="javascript', '[link=" javascript', $output);

$output = ereg_replace('[link="([[:graph:]]+)"]', '＜a href="\1">', $output);

$output = str_replace('[/link]', '＜/a>', $output);

return nl2br($output);

}

一些註意的地方:

記住替換自定義標記生成HTML標記字符串是在調用htmlspecialchars()函數之後，而不是在這個調用之前，否則你的艱苦的工作在調用htmlspecialchars()後將付之東流。網管bitscn_com

在經過轉換之後，查找HTML代碼將是替換過的，如雙引號"將成為"

nl2br()函數將回車換行符轉換為＜br>標記，也要在htmlspecialchars()之後。

當轉換[links=""] 到＜a href="">, 你必須確認提交者不會插入javascript腳本，一個簡單的方法去更改[link="javascript 到 [link=" javascript, 這種方式將不替換，只是將原本的代碼顯示出來。

outputlib.php

在瀏覽器中調用test.php，可以看到format_output() 的使用情況

正常的HTML標記不能被使用,用下列的特殊標記替換它:

- this is bold

- this is italics

- this is [link="http://www.phpbuilder.com"]a link[/link]

- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落

[pre]預先格式化[/pre]

[indent]交錯文本[/indent]

這些只是很少的標記，當然，你可以根據你的需求隨意加入更多的標記網管聯盟bitsCN@com

Conclusion

結論

這個討論提供安全顯示用戶輸入的方法，可以使用在下列程序中

留言板

用戶建議

系統公告

BBS系統

點擊展開全文

上一篇：PHP網站漏洞的相關總結

下一篇：PHP 安全及相關

免責聲明：本文為網絡用戶發布，其觀點僅代表作者個人觀點，與本站無關，本站僅提供信息存儲服務。文中陳述內容未經本站證實，其真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，並請自行核實相關內容。

2023年上半年GDP全球前十五強
百态 2023-10-24

美眾議院議長啟動對拜登的彈劾調查
百态 2023-09-13

上海、濟南、武漢等多地出現不明墜落物
探索 2023-09-06

印度或要將國名改為「巴拉特」
百态 2023-09-06

男子為女友送行，買票不登機被捕
百态 2023-08-20

手機地震預警功能怎麽開？
干货 2023-08-06

女子4年賣2套房花700多萬做美容：不但沒變美臉，面部還出現變形
百态 2023-08-04

住戶一樓被水淹還衝來8頭豬
百态 2023-07-31

女子體內爬出大量瓜子狀活蟲
百态 2023-07-25

地球連續35年收到神秘規律性信號，網友：不要回答！
探索 2023-07-21

全球鎵價格本周大漲27%
探索 2023-07-09

錢都流向了那些不缺錢的人，苦都留給了能吃苦的人
探索 2023-07-02

倩女手遊刀客魅者強控制（強混亂強眩暈強睡眠）和對應控制抗性的關系
百态 2020-08-20

美國5月9日最新疫情：美國確診人數突破131萬
百态 2020-05-09

荷蘭政府宣布將集體辭職
干货 2020-04-30

倩女幽魂手遊師徒任務情義春秋猜成語答案逍遙觀：鵬程萬裏
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案神機營：射石飲羽
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案昆侖山：拔刀相助
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案天工閣：鬼斧神工
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案絲路古道：單槍匹馬
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野：與虎謀皮
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野：指鹿為馬
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案金陵：小鳥依人
干货 2019-11-12

倩女幽魂手遊師徒任務情義春秋猜成語答案金陵：千金買鄰
干货 2019-11-12