PHP中显示格式化的用户输入


Posted in PHP onOctober 09, 2006

你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。

没有过滤输出的危险

如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:

This is my comment.
<script language="javascript:
alert('Do something bad here!')">.

这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。

只显示无格式的文本

这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。

如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。
Formatting with Custom Markup Tags
用户自己的标记作格式化

你可以提供特殊的标记给用户使用,例如,你可以允许使用[b]...[/b]加重显示,[i]...[/i]斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("[b]", "<b>", $output);
$output = str_replace("[i]", "<i>", $output);

再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...</a>语句

这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);

ereg_replace()的执行就是:
查找出现[link="..."]的字符串,使用<a href="..."> 替换它
[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。

在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:
调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,
然后,将一系列我们自定义的标记转换相应的HTML标记。
请参看下面的源代码:
<?php

function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */
$output = str_replace('[p]', '<p>', $output);

/* bold */
$output = str_replace('[b]', '<b>', $output);
$output = str_replace('[/b]', '</b>', $output);

/* italics */
$output = str_replace('[i]', '<i>', $output);
$output = str_replace('[/i]', '</i>', $output);

/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);

/* indented blocks (blockquote) */
$output = str_replace('[indent]', '<blockquote>', $output);
$output = str_replace('[/indent]', '</blockquote>', $output);

/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '<a name="\\1"></a>', $output);

/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);
$output = str_replace('[/link]', '</a>', $output);

return nl2br($output);
}

?>

一些注意的地方:

记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。

在经过转换之后,查找HTML代码将是替换过的,如双引号"将成为"

nl2br()函数将回车换行符转换为<br>标记,也要在htmlspecialchars()之后。

当转换[links=""] 到 <a href="">, 你必须确认提交者不会插入javascript脚本,一个简单的方法去更改[link="javascript 到 [link=" javascript, 这种方式将不替换,只是将原本的代码显示出来。

outputlib.php
在浏览器中调用test.php,可以看到format_output() 的使用情况

正常的HTML标记不能被使用,用下列的特殊标记替换它:

- this is [b]bold[/b]
- this is [i]italics[/i]
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落
[pre]预先格式化[/pre]
[indent]交错文本[/indent]

这些只是很少的标记,当然,你可以根据你的需求随意加入更多的标记

Conclusion
结论

这个讨论提供安全显示用户输入的方法,可以使用在下列程序中

留言板
用户建议
系统公告
BBS系统

PHP 相关文章推荐
在WIN98下以apache模块方式安装php
Oct 09 PHP
php实现从ftp服务器上下载文件树到本地电脑的程序
Feb 10 PHP
php db类库进行数据库操作
Mar 19 PHP
PHP字符串处理的10个简单方法
Jun 30 PHP
PHP反转字符串函数strrev()函数的用法
Feb 04 PHP
php代码书写习惯优化小结
Jun 20 PHP
php中的常用魔术方法总结
Aug 02 PHP
php颜色转换函数hex-rgb(将十六进制格式转成十进制格式)
Sep 23 PHP
php删除指定目录的方法
Apr 03 PHP
PHP实现路由映射到指定控制器
Aug 13 PHP
php 下 html5 XHR2 + FormData + File API 上传文件操作实例分析
Feb 28 PHP
PHP获取当前时间不准确问题解决方案
Aug 14 PHP
提升PHP执行速度全攻略(下)
Oct 09 #PHP
PHP的面向对象编程
Oct 09 #PHP
PHP文本数据库的搜索方法
Oct 09 #PHP
PHP:风雨欲来 路在何方?
Oct 09 #PHP
用Socket发送电子邮件(利用需要验证的SMTP服务器)
Oct 09 #PHP
用PHP实现登陆验证码(类似条行码状)
Oct 09 #PHP
用PHP创建PDF中文文档
Oct 09 #PHP
You might like
分享PHP入门的学习方法
2007/01/02 PHP
php调用mysql数据 dbclass类
2011/05/07 PHP
关于PHP 如何用 curl 读取 HTTP chunked 数据
2016/02/26 PHP
JavaScript 异步调用框架 (Part 1 - 问题 &amp; 场景)
2009/08/03 Javascript
AngularJS HTML编译器介绍
2014/12/06 Javascript
node.js中的buffer.Buffer.isEncoding方法使用说明
2014/12/14 Javascript
JavaScript实现鼠标滑过图片变换效果的方法
2015/04/16 Javascript
js由下向上不断上升冒气泡效果实例
2015/05/07 Javascript
Query常用DIV操作获取和设置长度宽度的实现方法
2016/09/19 Javascript
Bootstrap里的文件分别代表什么意思及其引用方法
2017/05/01 Javascript
ES6入门教程之Class和Module详解
2017/05/17 Javascript
jQuery实现table表格信息的展开和缩小功能示例
2018/07/21 jQuery
js利用拖放实现添加删除
2020/08/27 Javascript
基于javascript实现移动端轮播图效果
2020/12/21 Javascript
树莓派中python获取GY-85九轴模块信息示例
2013/12/05 Python
Python插件virtualenv搭建虚拟环境
2017/11/20 Python
Python3中函数参数传递方式实例详解
2019/05/05 Python
用python做游戏的细节详解
2019/06/25 Python
Django用户认证系统 组与权限解析
2019/08/02 Python
浅谈ROC曲线的最佳阈值如何选取
2020/02/28 Python
python如何提升爬虫效率
2020/09/27 Python
Pycharm自动添加文件头注释和函数注释参数的方法
2020/10/23 Python
10个顶级Python实用库推荐
2021/03/04 Python
荷兰之家英文站:Holland at Home
2016/10/26 全球购物
Superdry极度干燥美国官网:英国制造的服装品牌
2018/11/13 全球购物
贝尔帐篷精品店:Bell Tent Boutique
2019/06/12 全球购物
Conforama瑞士:家具、厨房、电器、装饰
2020/09/06 全球购物
车间副主任岗位职责
2013/12/24 职场文书
广告创意求职信
2014/03/17 职场文书
志愿者活动总结
2014/04/28 职场文书
和谐社区口号
2014/06/19 职场文书
公司租房协议书范本
2014/10/08 职场文书
党的群众路线教育实践活动学习笔记范文
2014/11/06 职场文书
工地材料员岗位职责
2015/04/11 职场文书
2015年精神文明建设工作总结
2015/04/21 职场文书
详解python中[-1]、[:-1]、[::-1]、[n::-1]使用方法
2021/04/25 Python