当前位置: 首页 > 图文教程 > 网络编程 > PHP > PHP中显示格式化的用户输入

PHP
php 多线程上下文中安全写文件实现代码
PHP类的使用 实例代码讲解
用php实现让页面只能被百度gogole蜘蛛访问的方法
php 学习笔记
PHP编程过程中需要了解的this,self,parent的区别
php 操作excel文件的方法小结
使用PHP获取网络文件的实现代码
PHP 巧用数组降低程序的时间复杂度
php下将XML转换为数组
php 文件上传代码(限制jpg文件)
php 无极分类(递归)实现代码
PHP 采集获取指定网址的内容
PHP 将图片按创建时间进行分类存储的实现代码
PHP 存储文本换行实现方法
PHP 批量更新网页内容实现代码
用PHP查询搜索引擎排名位置的代码
用php实现的获取网页中的图片并保存到本地的代码
php实现首页链接查询 友情链接检查的代码
处理php自动反斜杠的函数代码
php实现的遍历文件夹下所有文件,编辑删除

PHP中显示格式化的用户输入


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-08-14   浏览: 57 ::
收藏到网摘: n/a

你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。

没有过滤输出的危险

如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:

Thisismycomment.
<scriptlanguage="javascript:
alert('Dosomethingbadhere!')">.

这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。


只显示无格式的文本

这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。

如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。

FormattingwithCustomMarkupTags
用户自己的标记作格式化


你可以提供特殊的标记给用户使用,例如,你可以允许使用...加重显示,...斜体显示,这样做简单的查找替换操作就可以了:$output=str_replace("[b]","<b>",$output);
$output=str_replace("[i]","<i>",$output);

再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<ahref="">...</a>语句

这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:
$output=ereg_replace('\[link="([[:graph:]]+)"\]','<ahref="\\1">',$output);

ereg_replace()的执行就是:
查找出现[link="..."]的字符串,使用<ahref="...">替换它
[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。


在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:
调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,
然后,将一系列我们自定义的标记转换相应的HTML标记。

请参看下面的源代码:
<?php


functionformat_output($output){
/****************************************************************************
*Takesarawstring($output)andformatsitforoutputusingaspecial
*strippeddownmarkupthatissimilartoHTML
****************************************************************************/

$output=htmlspecialchars(stripslashes($output));

/*newparagraph*/
$output=str_replace('[p]','<p>',$output);

/*bold*/
$output=str_replace('','<b>',$output);
$output=str_replace('
','</b>',$output);

/*italics*/
$output=str_replace('','<i>',$output);
$output=str_replace('
','</i>',$output);

/*preformatted*/
$output=str_replace('[pre]','<pre>',$output);
$output=str_replace('[/pre]','</pre>',$output);

/*indentedblocks(blockquote)*/
$output=str_replace('[indent]','<blockquote>',$output);
$output=str_replace('[/indent]','</blockquote>',$output);

/*anchors*/
$output=ereg_replace('\[anchor="([[:graph:]]+)"\]','<aname="\\1"></a>',$output);

/*links,notewetrytopreventjavascriptinlinks*/
$output=str_replace('[link="javascript','[link="javascript',$output);
$output=ereg_replace('\[link="([[:graph:]]+)"\]','<ahref="\\1">',$output);
$output=str_replace('[/link]','</a>',$output);

returnnl2br($output);
}

?>

一些注意的地方:

记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后,而不是在这个调用之前,否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。

在经过转换之后,查找HTML代码将是替换过的,如双引号"将成为"

nl2br()函数将回车换行符转换为<br>标记,也要在htmlspecialchars()之后。

当转换[links=""]到<ahref="">,你必须确认提交者不会插入javascript脚本,一个简单的方法去更改[link="javascript到[link="javascript,这种方式将不替换,只是将原本的代码显示出来。

outputlib.php
在浏览器中调用test.php,可以看到format_output()的使用情况

正常的HTML标记不能被使用,用下列的特殊标记替换它:

-thisisbold
-thisisitalics
-thisis[link="http://www.phpbuilder.com"]alink[/link]
-thisis[anchor="test"]ananchor,anda[link="#test"]link[/link]totheanchor

[p]段落
[pre]预先格式化[/pre]
[indent]交错文本[/indent]

这些只是很少的标记,当然,你可以根据你的需求随意加入更多的标记

Conclusion
结论

这个讨论提供安全显示用户输入的方法,可以使用在下列程序中

留言板
用户建议
系统公告
BBS系统