当前位置: 网学 > 编程文档 > PHP > 正文

在PHP中显示格式化的用户输入

来源:Http://myeducs.cn 联系QQ:点击这里给我发消息 作者: 用户投稿 来源: 网络 发布时间: 12/10/17
下载{$ArticleTitle}原创论文样式

  你可以在这个页面下载这个文档附带的文件,也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。

  没有过滤输出的危险


  如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:


This is my comment.

<script language="javascript:

alert(''Do something bad here!'')">.


  这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。


  只显示无格式的文本


  这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。


  如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。

  这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些。


Formatting with Custom Markup Tags

用户自己的标记作格式化


  你可以提供特殊的标记给用户使用,例如,你可以允许使用[b][/b]加重显示,[i][/i]斜体显示,这样做简单的查找替换操作就可以了: $output = str_replace("[b]", "<b>", $output);

$output = str_replace("[i]", "<i>", $output);


  再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"][/link],我们将转换为<a href=""></a>语句


  这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:

$output = ereg_replace(''\[link="([[:graph:]]+)"\]'', ''<a href="\\1">'', $output);


ereg_replace()的执行就是:

查找出现[link=""]的字符串,使用<a href=""> 替换它

[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。


  在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:


  调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,然后,将一系列我们自定义的标记转换相应的HTML标记。


请参看下面的源代码:

<?php


function format_output($output) {

/****************************************************************************

* Takes a raw string ($output) and formats it for output using a special

* stripped down markup that is similar to HTML

****************************************************************************/


$output = htmlspecialchars(stripslashes($output));


/* new paragraph */

$output = str_replace(''[p]'', ''<p>'', $output);


/* bold */

$output = str_replace(''[b]'', ''<b>'', $output);

$output = str_replace(''[/b]'', ''</b>'', $output);


/* italics */

$output = str_replace(''[i]'', ''<i>'', $output);

$output = str_replace(''[/i]'', ''</i>'', $output);


/* preformatted */

$output = str_replace(''[pre]'', ''<pre>'', $output);

$output = str_replace(''[/pre]'', ''</pre>'', $output);


/* indented blocks (blockquote) */

$output = str_replace(''[indent]'', ''<blockquote>'', $output);

$output = str_replace(''[/indent]'', ''</blockquote>'', $output
12下一页
点击进入论坛和大家一起交流设计,分享设计素材,结交设计朋友
  • 上一篇资讯: 一个用PHP和MYSQL写的定饭系统
  • 下一篇资讯: 让php4动态生成flash动画

    • 相关资讯

    网学推荐

    免费论文

    原创论文

    文章排行榜

  • · PHP 5.0中多态性的实现方案浅析
  • · 在PHP中实现重载构造函数的方法
  • · 详解PHP的面向对象编程
  • · ZendStudio for Eclipse 调试入门篇
  • · PHP面向对象程序设计的61条黄金法则
  • · php面向对象oop
  • · php操作文件型数据库SQLite
  • · php+mysql分页处理的探讨
  • · PHP中使用FCKeditor
  • · PHP中使用FCKeditor2.3.2配置
  • · 在php中使用FCKeditor2.4.2
  • · 织梦dedecms从底层标签实现二级菜单
  • · iis下php无法找到该页 的错误解决
  • · PHP V5.3 中的新特性: 名称空间
  • · IIS下PHP的ISAPI和FastCGI比较
  • · PHP开发框架的现状和展望
  • · 优化PHP代码的40条建议
  • · PHP MVC架构下的一些流行框架...
    • 浏览:
    设为首页 | 加入收藏 | 论文首页 | 论文专题 | 设计下载 | 网学软件 | 论文模板 | 论文资源 | 程序设计 | 关于网学 | 站内搜索 | 网学留言 | 友情链接 | 资料中心
    版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
    Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
    湘ICP备09003080号