這個文檔描述如何安全顯示的有格式的用戶輸入。我們將討論沒有經過過濾的輸出的危險,給出一個安全的顯示格式化輸出的方法。
沒有過濾輸出的危險
如果你僅僅獲得用戶的輸入然後顯示它,你可能會破壞你的輸出頁面,如一些人能惡意地在他們提交的輸入框中嵌入
javascript腳本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
這樣,即使用戶不是惡意的,也會破壞你的一些HTML的語句,如一個表格突然中斷,或是頁面顯示不完整。
只顯示無格式的文本
這是一個最簡單的解決方案,你只是將用戶提交的信息顯示為無格式的文本。使用htmlspecialchars()函數,將轉化全部的字符為HTML的編碼。
如<b>將轉變為<b>,這可以保證不會有意想不到的HTML標記在不適當的時候輸出。
這是一個好的解決方案,如果你的用戶只關注沒有格式的文本內容。但是,如果你給出一些可以格式化的能力,它將更好一些
Formatting with Custom Markup Tags
用戶自己的標記作格式化
你可以提供特殊的標記給用戶使用,例如,你可以允許使用
...加重顯示,
...斜體顯示,這樣做簡單的查找替換操作就可以了:
$output = str_replace("
", "<b>", $output);
$output = str_replace("", "<i>", $output);
再作的好一點,我們可以允許用戶鍵入一些鏈接。例如,用戶將允許輸入[link="url"]...[/link],我們將轉換為<a href="">...</a>語句
這時,我們不能使用一個簡單的查找替換,應該使用正則表達式進行替換:
$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="1">', $output);
ereg_replace()的執行就是:
查找出現[link="..."]的字符串,使用<a href="..."> 替換它
[[:graph:]]的含義是任何非空字符,有關正則表達式請看相關的文章。
在outputlib.php的format_output()函數提供這些標記的轉換,總體上的原則是:
調用htmlspecialchars()將HTML標記轉換成特殊編碼,將不該顯示的HTML標記過濾掉,
然後,將一系列我們自定義的標記轉換相應的HTML標記。
<?php
function format_output($output) {
/****************************************************************************