使用php保护简单的所见即所得的最佳方法

前端之家收集整理的这篇文章主要介绍了使用php保护简单的所见即所得的最佳方法前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在我的网站上添加了一个简单的所见即所得编辑器. (它只允许B / I / U – 不再)
我目前将所有内容存储为我的数据库中的html – 但是atm很容易添加< a onclick ='...'>或其他恶意代码)

什么是PHP的最佳方式来安全地解析输入?
如何实施< b>< / b> < I>< / I>等白名单并编码其他所有内容

HTMLPurifier

我只是把它扔到那里,可能会得到不可避免的抨击.我不会使用strip_tags来保证你的WYSIWYG表格……永远(除非你想惹恼你的用户).

它不会保护您的表单,您可能会破坏用户的体验.

Chris Shiftlett在他的博客文章中写了一篇优秀的段落

I detest commenting on blogs where my comment is passed through something like strip_tags(),effectively mangling what I’m trying to say. It reminds me of using an IM client that tries to identify smilies and replace them with images,often making responses difficult to decipher.

另一个原因

另一个答案中的其他人也写了这个我喜欢的:

$str = "10 appels is <than 12 apples";
  var_dump(strip_tags($str));

我得到的输出是:

string '10 appels is ' (length=13)

我个人不会使用HTMLPurifier以外的任何东西

HTMLPurifier

HTMLPurifier

试试这里的演示:http://htmlpurifier.org/demo.php

看看这个similar question

猜你在找的PHP相关文章