剝離輸入以完成純文本

Question

當前正在完成我的評論系統的編碼，並且希望它能夠使用Stack Overflow如何處理他們的帖子等，我希望我的用戶能夠使用BOLD，Italic和Underscore只是，要做到這一點，我會用以下內容：

_文字_ *加粗* -Italic-

現在，首先我想知道剝離評論完全乾淨的任何一種方式標籤，html實體等，例如，如果用戶使用任何html/php標籤，他們將從輸入中刪除。

我目前使用Strip_tags，但即使已經做出濫用或blatent XSS /注入嘗試，但可以使輸出看起來非常討厭，我仍然希望純文本輸出完整，而不是因爲strip_tags似乎讓它變得絕對混亂。

接下來我會做的是用粗體的html標籤替換星號，等等，在剝掉html標籤內容的乾淨之後。

人們如何建議我這樣做，目前這是評論的sanitize函數

function cleanNonSQL($str) 
{ 
    return strip_tags(stripslashes(trim($str))); 
} 

Answer 1

PHP標籤由<?和?>，也許<%和%>一些年齡大的裝置包圍，所以去除PHP標籤可以通過正則表達式進行管理：

$cleaned=preg_replace('/\<\?.*?\?\>/', '', $dirty); 
$cleaned=preg_replace('/\<\%.*?\%\>/', '', $cleaned); 

接下來你把HTML的護理標籤：這些被<和>包圍。同樣你可以做到這一點與正則表達式

$cleaned=preg_replace('/\<.*?\>/','',$cleaned); 

這將改變

$dirty="blah blah blah <?php echo $this; ?> foo foo foo <some> html <tag> and <another /> bar bar"; 

到

$cleaned="blah blah blah foo foo foo html and bar bar"; 

Answer 2

你可以嘗試使用正則表達式來剝去標籤，如：

preg_replace("/\<(.+?)\>/", '', $str); 

不知道這就是你要找的東西，但它會刪除<和>中的任何東西。您還可以通過要求<之後的第一個字符成爲一個字母來使它更安全一些。

Answer 3

正確的方法是不刪除用戶的評論的HTML標籤，而是告訴瀏覽器認爲以下文本不應該被解釋爲HTML，Javascript，不管。想象一下，有人想發佈像我們這裏在stackoverflow上的示例代碼。如果你只是直截了當地刪除似乎是代碼的評論的任何部分，你會弄亂用戶的評論。

解決方案是使用htmlentities，它將在註釋中轉義用於html標記的符號，以便它實際上顯示爲瀏覽器中的文本。

例如，瀏覽器將解釋爲<作爲html標記的開始。如果您只想讓瀏覽器顯示<，則必須在源代碼中編寫<。 htmlentities會將所有相關的符號轉換爲你的html實體。

長一點的示例

echo htmlentities("<b>this text should not be bold</b><?php echo PHP_SELF;?>"); 

輸出

<b>this text should not be bold</b><?php echo PHP_SELF;?> 

瀏覽器將輸出

<b>this text should not be bold</b><?php echo PHP_SELF;?> 

考慮與下述溶液現實生活中的例子，你接受。想象一下，用戶寫這篇評論。

i'm in a bad mood today :<. but your blog made me really happy :> 

現在會做的文字你preg_replace("/\<(.+?)\>/", '', $comment);，它會刪除一半的評論：

i'm in a bad mood today : 

如果這是你想要的東西，別提這個答案。如果你不這樣做，請使用htmlentities。

如果要將註釋另存爲文件，而不是讓服務器在其中解釋PHP代碼，請使用擴展名（如「.html」或「.txt」）保存，以便Web服務器不會調用首先是PHP解釋器。通常不需要轉義PHP代碼。