使用php保护简单的所见即所得的最佳方法

发布时间：2020-12-13 18:17:18 所属栏目：PHP教程来源：网络整理

导读：我在我的网站上添加了一个简单的所见即所得编辑器. (它只允许B / I / U – 不再) 我目前将所有内容存储为我的数据库中的html – 但是atm很容易添加 a onclick ='...'或其他恶意代码) 什么是PHP的最佳方式来安全地解析输入？如何实施 b / b I / I等白名单并

我在我的网站上添加了一个简单的所见即所得编辑器. (它只允许B / I / U – 不再)
我目前将所有内容存储为我的数据库中的html – 但是atm很容易添加< a onclick ='...'>或其他恶意代码)

什么是PHP的最佳方式来安全地解析输入？
如何实施< b>< / b> < I>< / I>等白名单并编码其他所有内容？

HTMLPurifier

我只是把它扔到那里,可能会得到不可避免的抨击.我不会使用strip_tags来保证你的WYSIWYG表格……永远(除非你想惹恼你的用户).

它不会保护您的表单,您可能会破坏用户的体验.

Chris Shiftlett在他的博客文章中写了一篇优秀的段落

I detest commenting on blogs where my comment is passed through something like strip_tags(),effectively mangling what I’m trying to say. It reminds me of using an IM client that tries to identify smilies and replace them with images,often making responses difficult to decipher.

另一个原因

另一个答案中的其他人也写了这个我喜欢的：

$str = "10 appels is <than 12 apples";
  var_dump(strip_tags($str));

我得到的输出是：

string '10 appels is ' (length=13)

我个人不会使用HTMLPurifier以外的任何东西

HTMLPurifier

试试这里的演示：http://htmlpurifier.org/demo.php

看看这个similar question

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!