PHP中显示格式化的用户输入


Posted in PHP onOctober 09, 2006

你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。

没有过滤输出的危险

如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:

This is my comment.
<script language="javascript:
alert('Do something bad here!')">.

这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。

只显示无格式的文本

这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。

如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。
Formatting with Custom Markup Tags
用户自己的标记作格式化

你可以提供特殊的标记给用户使用,例如,你可以允许使用[b]...[/b]加重显示,[i]...[/i]斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("[b]", "<b>", $output);
$output = str_replace("[i]", "<i>", $output);

再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...</a>语句

这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);

ereg_replace()的执行就是:
查找出现[link="..."]的字符串,使用<a href="..."> 替换它
[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。

在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:
调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,
然后,将一系列我们自定义的标记转换相应的HTML标记。
请参看下面的源代码:
<?php

function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */
$output = str_replace('[p]', '<p>', $output);

/* bold */
$output = str_replace('[b]', '<b>', $output);
$output = str_replace('[/b]', '</b>', $output);

/* italics */
$output = str_replace('[i]', '<i>', $output);
$output = str_replace('[/i]', '</i>', $output);

/* preformatted */
$output = str_replace('[pre]', '<pre>', $output);
$output = str_replace('[/pre]', '</pre>', $output);

/* indented blocks (blockquote) */
$output = str_replace('[indent]', '<blockquote>', $output);
$output = str_replace('[/indent]', '</blockquote>', $output);

/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '<a name="\\1"></a>', $output);

/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '<a href="\\1">', $output);
$output = str_replace('[/link]', '</a>', $output);

return nl2br($output);
}

?>

一些注意的地方:

记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。

在经过转换之后,查找HTML代码将是替换过的,如双引号"将成为"

nl2br()函数将回车换行符转换为<br>标记,也要在htmlspecialchars()之后。

当转换[links=""] 到 <a href="">, 你必须确认提交者不会插入javascript脚本,一个简单的方法去更改[link="javascript 到 [link=" javascript, 这种方式将不替换,只是将原本的代码显示出来。

outputlib.php
在浏览器中调用test.php,可以看到format_output() 的使用情况

正常的HTML标记不能被使用,用下列的特殊标记替换它:

- this is [b]bold[/b]
- this is [i]italics[/i]
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落
[pre]预先格式化[/pre]
[indent]交错文本[/indent]

这些只是很少的标记,当然,你可以根据你的需求随意加入更多的标记

Conclusion
结论

这个讨论提供安全显示用户输入的方法,可以使用在下列程序中

留言板
用户建议
系统公告
BBS系统

PHP 相关文章推荐
PHP 获取远程文件内容的函数代码
Mar 24 PHP
关于session在PHP5的配置文件中的详细设置参数说明
Apr 20 PHP
PHP中集成PayPal标准支付的实现方法分享
Feb 06 PHP
根据中文裁减字符串函数的php代码
Dec 03 PHP
WordPress自定义时间显示格式
Mar 27 PHP
php数组随机排序实现方法
Jun 13 PHP
PHP检测链接是否存在的代码实例分享
May 06 PHP
PHP list() 将数组中的值赋给变量的简单实例
Jun 13 PHP
PHP实现QQ、微信和支付宝三合一收款码实例代码
Feb 19 PHP
PHP使用SMTP邮件服务器发送邮件示例
Aug 28 PHP
使用composer命令加载vendor中的第三方类库 的方法
Jul 09 PHP
Yii框架分页技术实例分析
Aug 30 PHP
提升PHP执行速度全攻略(下)
Oct 09 #PHP
PHP的面向对象编程
Oct 09 #PHP
PHP文本数据库的搜索方法
Oct 09 #PHP
PHP:风雨欲来 路在何方?
Oct 09 #PHP
用Socket发送电子邮件(利用需要验证的SMTP服务器)
Oct 09 #PHP
用PHP实现登陆验证码(类似条行码状)
Oct 09 #PHP
用PHP创建PDF中文文档
Oct 09 #PHP
You might like
PHP实现时间轴函数代码
2011/10/08 PHP
学习php过程中的一些注意点的总结
2013/10/25 PHP
利用PHP自动生成印有用户信息的名片
2016/08/01 PHP
iis6手工创建网站后无法运行php脚本的解决方法
2017/06/08 PHP
推荐:极酷右键菜单
2006/11/29 Javascript
jQuery使用手册之 事件处理
2007/03/24 Javascript
运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序
2007/04/21 Javascript
用javascript实现兼容IE7的类库 IE7_0_9.zip提供下载
2007/08/08 Javascript
jQuery $.each的用法说明
2010/03/22 Javascript
jQuery动态设置form表单的enctype值(实现代码)
2013/07/04 Javascript
JS显示下拉列表框内全部元素的方法
2015/03/31 Javascript
JS Canvas定时器模拟动态加载动画
2016/09/17 Javascript
extjs简介_动力节点Java学院整理
2017/07/17 Javascript
详解ES6中的代理模式——Proxy
2018/01/08 Javascript
CentOS7中源码编译安装NodeJS的完整步骤
2018/10/13 NodeJs
vue-router传参用法详解
2019/01/19 Javascript
vue实现可视化可拖放的自定义表单的示例代码
2019/03/20 Javascript
使用apifm-wxapi快速开发小程序过程详解
2019/08/05 Javascript
Vue+Koa2+mongoose写一个像素绘板的实现方法
2019/09/10 Javascript
vue框架中props的typescript用法详解
2020/02/17 Javascript
Vue + ts实现轮播插件的示例
2020/11/10 Javascript
python基于xml parse实现解析cdatasection数据
2014/09/30 Python
python中 * 的用法详解
2019/07/10 Python
Django 在iframe里跳转顶层url的例子
2019/08/21 Python
解决django model修改添加字段报错的问题
2019/11/18 Python
Python获取对象属性的几种方式小结
2020/03/12 Python
Windows 平台做 Python 开发的最佳组合(推荐)
2020/07/27 Python
python开发入门——set的使用
2020/09/03 Python
python自动化测试三部曲之request+django实现接口测试
2020/10/07 Python
Python如何实现Paramiko的二次封装
2021/01/30 Python
python利用xpath爬取网上数据并存储到django模型中
2021/02/26 Python
奶茶店创业计划书
2014/08/14 职场文书
高中教师先进事迹材料
2014/08/22 职场文书
2014年工作总结及2015工作计划
2014/12/12 职场文书
2015年公务员工作总结
2015/04/24 职场文书
鸦片战争观后感
2015/06/09 职场文书