输入和输出
输入和输出应该说是很多网站的基本功能。用户输入数据,网站输出数据供其他人浏览。 拿目前流行的Blog为例,这里的输入输出就是作者编辑文章后生成博客文章页面供他人阅读。
这里有一个问题,即用户输入通常是不受控制的,它可能包含不正确的格式亦或者含有有安全隐患的代码;而最终网站输出的内容却必须是正确的HTML代码。这就需要对用户输入的内容进行纠错和过滤。 永远不要相信用户的输入
你可能会说:现在到处都是所见即所得的编辑器(WYSIWYG),FCKeditor、TinyMCE...你可能会举出一大堆。是的,它们都可以自动生成标准的XHTML代码,但是作为web开发人员,你肯定听过"永远不要相信用户递交的数据"。 因此对用户输入数据进行纠错和过滤是必需的。 需要更好的纠错和过滤
目前为止我还没见过有让我满意的相关实现,能接触到的通常都是效率低下、效果不太理想,有这样那样的明显缺陷。举个比较知名的例子:wordpress是一种使用非常广泛的blog系统,操作简单功能强大且有丰富的插件支持,但是它集成的TinyMCE和后台一堆有些自作聪明的纠错过滤代码却令人相当头痛,对半角字符的强制替换,过于保守的替换规则等等.....导致像贴一段代码让它正确显示这种需求都很难做到。 这里顺便抱怨一下,这个blog是用wordpress架的,为了让这几篇文章能正确显示代码,网上搜了很多也试用了一些插件,最终还是翻了它的代码把一些过滤规则注释掉才勉强可以显示得体面一点-.-b 当然,我不想过多的指责它(wordpress),只是想说明它还可以做的更好。 Tidy是什么,它如何工作?
摘自TidyManPage的说明这样描述: TidyreadsHTML,XHTMLandXMLfilesandwritescleanedupmarkup.ForHTMLvariants,itdetectsandcorrectsmanycommoncodingerrorsandstrivestoproducevisuallyequivalentmarkupthatisbothW3Ccompliantandworksonmostbrowsers.AcommonuSEOfTidyistoconvertplainHTMLtoXHTML.ForgenericXMLfiles,Tidyislimitedtocorrectingbasicwell-formednesserrorsandprettyprinting. 简单说Tidy是清理HTML代码的,生成干净的符合W3C标准的HTML代码,支持HTML,XHTML,XML。Tidy提供一个库TidyLib,以方便在其他应用中利用Tidy的强大功能。非常幸运,PHP有相应的tidy模块可以使用。 老兄,为什么又是PHP?
呃,这个问题...惭愧,因为我只会那么点PHP而已-.-v
不过还好,我这里讲的都不是纯粹的代码,好歹也有些分析的过程,分享这些东西比贴代码有用多了。 PHP中使用Tidy
要在PHP中使用Tidy需要安装Tidy模块,也就是加载tidy.so这个PHPextension,具体过程就略了,纯粹是体力活。最后能在PHPinfo()中看到"Tidysupportenabled"就OK。 在这个模块的支持下,PHP中就可以使用Tidy提供的几乎所有的功能。常用的HTML清理是异常轻松的事情,甚至可以生成文档的解析树,像在客户端操作DOM那样的操作HTML的各个Node。下面将会有具体的代码说明,也可以看看PHP官方的相关手册。 纠错和过滤的PHP+Tidy实现
上面说了这么多背景素材,似乎太罗唆了,具体的解决问题的代码才最最直接。 1.简单的纠错实现 functionHtmlFix($html)
{ if(!function_exists('tidy_repair_string'))
return$html;
//usetidytorepairhtmlcode //repair
$str=tidy_repair_string($html,
array('output-xhtml'=>true),
'utf8');
//parse
$str=tidy_parse_string($str,
'utf8');
$s=''; $nodes=@tidy_get_body($str)->child; if(!is_array($nodes)){
$returnVal=0;
return$s;
} foreach($nodesas$n){
$s.=$n->value;
}
return$s;
}
上面的代码就是对可能不规范的XHTML代码进行清理纠错,输出标准的XHTML代码(输入输出都是UTF-8编码)。实现代码不是最精简的,因为为了配合下面的过滤功能,我写的尽可能细致了一些。 2.高级实现:纠错+过滤 功能: XHTML的纠错,输出标准的XHTML代码。
过滤不安全的代码但是不影响内容展示,只是对style/javascript中不安全代码进行清除。
对超长字符串插入
functionHtmlFixSafe($html)
{ if(!function_exists('tidy_repair_string'))
return$html;
//usetidytorepairhtmlcode //tidy的参数设定
$conf=array(
'output-xhtml'=>true
,'drop-empty-paras'=>FALSE
,'join-classes'=>TRUE
,'show-body-only'=>TRUE
); //repair
$str=tidy_repair_string($html,$conf,'utf8');
//生成解析树
$str=tidy_parse_string($str,'utf8'); $s=''; //得到body节点
$body=@tidy_get_body($str); //函数_dumpnode,检查每个节点,过滤后输出
function_dumpnode($node,&$s){ //查看节点名,如果是