在PHP中顯示格式化的用戶輸入

我們將討論沒有經過過濾的輸出的危險,給出一個安全的顯示格式化輸出的方法。

沒有過濾輸出的危險

如果你僅僅獲得用戶的輸入然後顯示它,你可能會破壞你的輸出頁面,如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本:

This is my comment.

<script language="javascript:

alert('Do something bad here!')">.

這樣,即使用戶不是惡意的,也會破壞你的一些HTML的語句,如一個表格突然中斷,或是頁面顯示不完整。

只顯示無格式的文本

這是一個最簡單的解決方案,你只是將用戶提交的信息顯示爲無格式的文本。使用htmlspecialchars()函數,將轉化全部的字符爲HTML的編碼。

如<b>將轉變爲<b>,這可以保證不會有意想不到的HTML標記在不適當的時候輸出。

這是一個好的解決方案,如果你的用戶只關注沒有格式的文本內容。但是,如果你給出一些可以格式化的能力,它將更好一些。

Formatting with Custom Markup Tags

用戶自己的標記作格式化

你可以提供特殊的標記給用戶使用,例如,你可以允許使用...加重顯示,...斜體顯示,這樣做簡單的查找替換操作就可以了: $output = str_replace("", "<b>", $output);

$output = str_replace("", "<i>", $output);

再作的好一點,我們可以允許用戶鍵入一些鏈接。例如,用戶將允許輸入[link="url"]...[/link],我們將轉換爲<a href="">...</a>語句

這時,我們不能使用一個簡單的查找替換,應該使用正則表達式進行替換:

$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="1">', $output);

ereg_replace()的執行就是:

查找出現[link="..."]的字符串,使用<a href="..."> 替換它

[[:graph:]]的含義是任何非空字符,有關正則表達式請看相關的文章。

在outputlib.php的format_output()函數提供這些標記的轉換,總體上的原則是:中國網管聯盟bitsCN.com

調用htmlspecialchars()將HTML標記轉換成特殊編碼,將不該顯示的HTML標記過濾掉,然後,將一系列我們自定義的標記轉換相應的HTML標記。

請參看下面的源代碼:

<?php

function format_output($output) {

/****************************************************************************

* Takes a raw string ($output) and formats it for output using a special

* stripped down markup that is similar to HTML

****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */

$output = str_replace('[p]', '<p>', $output);

/* bold */

$output = str_replace('[b]', '<b>', $output);

$output = str_replace('', '</b>', $output);

/* italics */

$output = str_replace('[i]', '<i>', $output);

$output = str_replace('', '</i>', $output);網管bitscn_com

/* preformatted */

$output = str_replace('[pre]', '<pre>', $output);

$output = str_replace('[/pre]', '</pre>', $output);

/* indented blocks (blockquote) */

$output = str_replace('[indent]', '<blockquote>', $output);

$output = str_replace('[/indent]', '</blockquote>', $output);

/* anchors */

$output = ereg_replace('[anchor="([[:graph:]]+)"]', '<a name="\1"></a>', $output);

/* links, note we try to prevent javascript in links */

$output = str_replace('[link="javascript', '[link=" javascript', $output);

$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="\1">', $output);

$output = str_replace('[/link]', '</a>', $output);

return nl2br($output);

}

?>

一些注意的地方:

記住替換自定義標記生成HTML標記字符串是在調用htmlspecialchars()函數之後,而不是在這個調用之前,否則你的艱苦的工作在調用htmlspecialchars()後將付之東流。網管bitscn_com

在經過轉換之後,查找HTML代碼將是替換過的,如雙引號"將成爲"

nl2br()函數將回車換行符轉換爲<br>標記,也要在htmlspecialchars()之後。

當轉換[links=""] 到 <a href="">, 你必須確認提交者不會插入javascript腳本,一個簡單的方法去更改[link="javascript 到 [link=" javascript, 這種方式將不替換,只是將原本的代碼顯示出來。

outputlib.php

在浏覽器中調用test.php,可以看到format_output() 的使用情況

正常的HTML標記不能被使用,用下列的特殊標記替換它:

- this is bold

- this is italics

- this is [link="http://www.phpbuilder.com"]a link[/link]

- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落

[pre]預先格式化[/pre]

[indent]交錯文本[/indent]

這些只是很少的標記,當然,你可以根據你的需求隨意加入更多的標記網管聯盟bitsCN@com

Conclusion

結論

這個討論提供安全顯示用戶輸入的方法,可以使用在下列程序中

留言板

用戶建議

系統公告

BBS系統

在PHP中顯示格式化的用戶輸入
我們將討論沒有經過過濾的輸出的危險,給出一個安全的顯示格式化輸出的方法。  沒有過濾輸出的危險  如果你僅僅獲得用戶的輸入然後顯示它,你可能會破壞你的輸出頁面,如一些人能惡意地在他們提交的輸入框中嵌入...查看完整版>>在PHP中顯示格式化的用戶輸入
 
GHOST修複了我無法格式化的U盤
  我的U盤是SIMPTECH 牌子的,256兆,在反複嘗試制作U盤啓動盤的過程中,U盤莫明其妙地壞了,本來在dos下U盤已經可以啓動DOS系統了,但後來卻無法啓動了。  我進入WINDOWS XP系統,可以在“我的電腦”中看到U盤的...查看完整版>>GHOST修複了我無法格式化的U盤
 
起死回生用Ghost修複無法格式化的U盤
  我的U盤是SIMPTECH 牌子的,256兆,在反複嘗試制作U盤啓動盤的過程中,U盤莫明其妙地壞了,本來在dos下U盤已經可以啓動DOS系統了,但後來卻無法啓動了。  我進入WINDOWS XP系統,可以在“我的電腦”中看到U盤的...查看完整版>>起死回生用Ghost修複無法格式化的U盤
 
.net下二進制序列化的格式分析
作者:zfive5email:zfive5@yahoo.com.cn 相應c#下的序列化代碼如下所示,程序把序列化後的數據存入了一個指定的文件file.bin裏,分析這個文件數據主要爲了能讓非.Net下的應用程序讀取序列化後數據,這有助于.net與其他...查看完整版>>.net下二進制序列化的格式分析
 
PHP中使用crypt()實現用戶身份驗證
  在開發PHP應用中如果不想自己開發新的加密算法,還可以利用PHP提供的crypt()函數來完成單向加密功能。  了解crypt()  只要有一點使用非Windows平台經驗的讀者都可能對crypt()相當熟悉,這一函數完成被稱作單...查看完整版>>PHP中使用crypt()實現用戶身份驗證
 
PHP-Nukeweb中心系統中的用戶登錄SQLhacking
  之所以翻譯這個文章,是因爲它非常細致完整地描述了發現安全漏洞的過程,包括成功的和不成功的嘗試,提供了一些有用的技術和思路。PHP-Nuke本身的這些已被發現的漏洞會很快被修補,但發現問題的思路不會有大的改...查看完整版>>PHP-Nukeweb中心系統中的用戶登錄SQLhacking
 
用PHP實現Ftp用戶的在線管理
領導要我策劃一個網頁設計大賽和Flash創作大賽,要求必須實現在線報名和上傳作品。通過FreeBSD+Apache+PHP+Mysql+FTP我實現了該要求。實現在線報名和上傳作品的思路是利用網頁表單收集用戶填寫的資料存儲到Mysql數...查看完整版>>用PHP實現Ftp用戶的在線管理
 
PHP中用戶身份認證實現二法
PHP中用戶身份認證實現二法用戶在設計和維護站點的時候,經常需要限制對某些重要文件或信息的訪問。通常,我們可以采用內置于WEB服務器的基于HTTP協議的用戶身份驗證機制。當訪問者浏覽受保護頁面時,客戶端浏覽器會...查看完整版>>PHP中用戶身份認證實現二法
 
PHP PEAR/HTML/QuickForm實現用戶注冊表單界面
  用PEAR中的QuickForm實現了一個用戶注冊的界面,具體的操作數據庫沒有寫。可能是我還不太熟練吧,沒發現它的優點,反而不如JS,HTML直接編寫來得迅速。也許它的好處就是可以控制很多吧(不是指外觀)。下面的例子...查看完整版>>PHP PEAR/HTML/QuickForm實現用戶注冊表單界面
 
 
回到王朝網路移動版首頁