我正在開發一個Web應用程序,其中爲用戶創建了一個html頁面。該頁面可以包含用戶放入的任何內容。我們將這些頁面添加到頂部,並在輸出實際html之前檢查一些內容。它看起來有點像這樣:停止PHP解析但輸出文件的其餘部分
<?php
require 'checksomestuff.php';
// User's html below
?>
<html>
<!-- user's html -->
</html>
有沒有辦法從我require
解析後停止任何PHP?我需要輸出html,但是,由於用戶可以添加任何他們想要的html,我不希望任何用戶添加的PHP被執行。顯然這將是一個安全問題。所以,我想要輸出用戶的html,但不能解析任何PHP。我寧願不必將用戶的HTML放入另一個文件中。
如果您不希望頁面包含用戶創建的PHP,那麼請勿允許用戶輸入將由頁面處理的PHP代碼.... – 2012-03-12 14:59:50
用戶將如何添加HTML? – bfavaretto 2012-03-12 15:00:53
你已經完全誤解了安全概念..你需要檢查用戶輸入的漏洞,而不是顯示/執行它們。 – emaillenin 2012-03-12 15:03:31