PHP编程:显示格局化的用户输出
开发相册系统过程中就有过这样的问题,因为没有交流好,出现重复工作问题,因为文档没有详细的说明而经常临时问对方。显示 这个文档描写若何平安显示的有格局的用户输出。咱们将会商没有经由过滤的输入的风险,给出一个平安的显示格局化输入的办法。没有过滤输入的风险
假如你仅仅取得用户的输出然后显示它,你能够会损坏你的输入页面,如一些人能歹意地在他们提交的输出框中嵌入
javascript剧本:
This is my comment.
<script language="javascript:
alert('Do something bad here!')">.
如许,即便用户不是歹意的,也会损坏你的一些HTML的语句,如一个表格俄然中止,或是页面显示不完全。
只显示无格局的文本
这是一个最复杂的处理计划,你只是将用户提交的信息显示为无格局的文本。利用htmlspecialchars()函数,将转化全体的字符为HTML的编码。
如<b>将改变为<b>,这可以包管不会成心想不到的HTML标志在不恰当的时分输入。
这是一个好的处理计划,假如你的用户只存眷没有格局的文本内容。然而,假如你给出一些可以格局化的才能,它将更好一些
Formatting with Custom Markup Tags
用户本人的标志作格局化
你可以供应特别的标志给用户利用,例如,你可以答应利用...减轻显示,...斜体显示,如许做复杂的查找交换操作就能够了:
$output = str_replace("", "<b>", $output);
$output = str_replace("", "<i>", $output);
再作的好一点,咱们可以答应用户键入一些链接。例如,用户将答应输出...,咱们将转换为<a href="">...</a>语句
这时候,咱们不克不及利用一个复杂的查找交换,应当利用正则表达式停止交换:
$output = ereg_replace('\]+)"\]', '<a href="\1">', $output);
ereg_replace()的履行就是:
查找呈现的字符串,利用<a href="..."> 交换它
[[:graph:]]的寄义是任何非空字符,有关正则表达式请看相干的文章。
在outputlib.php的format_output()函数供应这些标志的转换,整体上的准绳是:
挪用htmlspecialchars()将HTML标志转换成特别编码,将不应显示的HTML标志过滤失落,
然后,将一系列咱们自界说的标志转换响应的HTML标志。
<?php
function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/
$output = htmlspecialchars(stripslashes($output));
/* new paragraph */
$output = str_replace('', '<p>', $output);
/* bold */
$output = str_replace('', '<b>', $output);
$output = str_replace('', '</b>', $output);
/* italics */
$output = str_replace('', '<i>', $output);
$output = str_replace('', '</i>', $output);
/* preformatted */
$output = str_replace('', '<pre>', $output);
$output = str_replace('', '</pre>', $output);
/* indented blocks (blockquote) */
$output = str_replace('', '<blockquote>', $output);
$output = str_replace('', '</blockquote>', $output);
/* anchors */
$output = ereg_replace('\]+)"\]', '<a name="\1"></a>', $output);
/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\]+)"\]', '<a href="\1">', $output);
$output = str_replace('', '</a>', $output);
return nl2br($output);
}
?>
一些注重的中央:
记住交换自界说标志生成HTML标志字符串是在挪用htmlspecialchars()函数以后,而不是在这个挪用之前,
不然你的艰辛的任务在挪用htmlspecialchars()后将付之东流。
在经由转换以后,查找HTML代码将是交换过的,如双引号"将成为"
nl2br()函数将回车换行符转换为<br>标志,也要在htmlspecialchars()以后。
当转换 到 <a href="">, 你必需确认提交者不会拔出javascript剧本,一个复杂的办法去更改[link="javascript 到 [link=" javascript, 这类体例将不交换,只是将本来的代码显示出来。
outputlib.php
在阅读器中挪用test.php,可以看到format_output() 的利用情形
正常的HTML标志不克不及被利用,用以下的特别标志交换它:
- this is bold
- this is italics
- this is a link
- this is an anchor, and a link to the anchor
段落
事后格局化
交织文本
这些只是很少的标志,固然,你可以依据你的需求随便到场更多的标志
Conclusion
结论
这个会商供应平安显示用户输出的办法,可使用鄙人列法式中
留言板
用户建议
体系通知布告
BBS体系
即使你理解不了PHP,但是也必须先跟它混个脸熟,看,一遍遍的看,看的同时一边琢磨,一边按照它所教的打代码,即使你搞不清楚那些代码到底是干嘛的,但是起码你应该找找感觉。 其实也不算什么什么心得,在各位大侠算是小巫见大巫了吧,望大家不要见笑,若其中有错误的地方请各位大虾斧正。 最后祝愿,php会给你带来快乐的同时 你也会给他带来快乐。 为了以后维护的方便最好是代码上都加上注释,“予人方便,自己方便”。此外开发文档什么的最好都弄齐全。我觉得这是程序员必备的素质。虽然会消耗点很多的时间。但是确实是非常有必要的。 学好程序语言,多些才是王道,写两个小时代码的作用绝对超过看一天书,这个我是深有体会(顺便还能练打字速度)。 找到的的资料很多都是在论坛里的,需要注册,所以我一般没到一个论坛都注册一个id,所有的id都注册成一样的,这样下次再进来的时候就不用重复注册啦。当然有些论坛的某些资料是需要的付费的。 小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。 Ps:以上纯属原创,如有雷同,纯属巧合 对于懒惰的朋友,我推荐php的集成环境xampp或者是wamp。这两个软件安装方便,使用简单。但是我还是强烈建议自己动手搭建开发环境。 个人呢觉得,配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下,还有重启apache。 在我安装pear包的时候老是提示,缺少某某文件,才发现 那群extension 的排列是应该有一点的顺序,而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去,只留下我需要使用的扩展。 首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。 有位前辈曾经跟我说过,phper 至少要掌握200个函数 编起程序来才能顺畅点,那些不熟悉的函数记不住也要一拿手册就能找到。所以建议新手们没事就看看php的手册(至少array函数和string函数是要记牢的)。 这些中手常用的知识,当你把我说的这些关键字都可以熟练运用的时候,你可以选择自己 首推的搜索引擎当然是Google大神,其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的,运气的的概率很大。 写js我最烦的就是 ie 和 firefox下同样的代码 结果显示的结果千差万别,还是就是最好不要用遨游去调试,因为有时候遨游是禁用js的,有可能代码是争取结果被遨游折腾的认为是代码写错。 在学习的过程中不能怕麻烦,不能有懒惰的思想。学习php首先应该搭建一个lamp环境或者是wamp环境。这是学习php开发的根本。虽然网络上有很多集成的环境,安装很方便,使用起来也很稳定、 建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。 开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。 微软最近出的新字体“微软雅黑”,虽然是挺漂亮的,不过firefox支持的不是很好,所以能少用还是少用的好。
页:
[1]