我允許用戶在他們的頁面上嵌入視頻,但以防萬一我想過濾輸出。爲了呈現視頻,我從數據庫中檢索嵌入語句,但是當它被過濾時,它以原始代碼呈現。有沒有一種視頻友好的方式來過濾這樣的事情,或者有沒有人有任何建議以不同的方式來做到這一點?提前感謝您的任何建議。是否有可能過濾嵌入htmlspecialchars()的視頻
while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
$video= htmlspecialchars($row['video'], ENT_NOQUOTES, 'UTF-8');
}
echo "$video";
在數據庫中,視頻將看起來像這樣的例子
<object width="464" height="368" id="669545" type="application/x-shockwave-flash"
classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" alt="Aqua Teen Hunger Force - Hand Banana Funny
Videos"><param name="movie" value="http://embed.break.com/NjY5NTQ1"></param><param
name="allowScriptAccess" value="always"></param><embed src="http://embed.break.com/NjY5NTQ1"
type="application/x-shockwave-flash" allowScriptAccess=always width="464" height="368"></embed></
object><br><font size=1><a href="http://www.break.com/usercontent/2009/2/Aqua-Teen-Hunger-Force-Hand-
Banana-669545.html" target="_blank">Aqua Teen Hunger Force - Hand Banana</a> - Watch more <a href="http://
www.break.com" target="_blank">Funny Videos</a></font>
我喜歡第三種選擇,但如果他們發佈Flash或JavaScript內容到文本區域,無論如何,htmlspecialchars會阻止執行惡意代碼,如果您過濾輸出?是否有任何其他方式來過濾/防止跨站點腳本攻擊? – Scarface 2010-09-23 16:20:51
是的,如果他們在輸入中輸入'