PHP实例——输出安全的HTML代码

转载 于 2012-03-20 21:55:00 发布 · 88 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/picaso/archive/2012/03/20/2408877.html
文章标签:

#php #javascript #ViewUI

本文介绍了一个PHP函数,用于安全地输出HTML内容。该函数通过多种正则表达式匹配和替换策略来过滤潜在有害的HTML标签、属性及脚本,确保输出的内容不会对网站造成安全威胁。 
//输出安全的html
function h($text, $tags = null){
    $text    =    trim($text);
    //完全过滤注释
    $text    =    preg_replace('/<!--?.*-->/','',$text);
    //完全过滤动态代码
    $text    =    preg_replace('/<\?|\?'.'>/','',$text);
    //完全过滤js
    $text    =    preg_replace('/<script?.*\/script>/','',$text);

    $text    =    str_replace('[','&#091;',$text);
    $text    =    str_replace(']','&#093;',$text);
    $text    =    str_replace('|','&#124;',$text);
    //过滤换行符
    $text    =    preg_replace('/\r?\n/','',$text);
    //br
    $text    =    preg_replace('/<br(\s\/)?'.'>/i','[br]',$text);
    $text    =    preg_replace('/(\[br\]\s*){10,}/i','[br]',$text);
    //过滤危险的属性,如:过滤on事件lang js
    while(preg_match('/(<[^><]+)( lang|on|action|background|codebase|dynsrc|lowsrc)[^><]+/i',$text,$mat)){
        $text=str_replace($mat[0],$mat[1],$text);
    }
    while(preg_match('/(<[^><]+)(window\.|javascript:|js:|about:|file:|document\.|vbs:|cookie)([^><]*)/i',$text,$mat)){
        $text=str_replace($mat[0],$mat[1].$mat[3],$text);
    }
    if(empty($tags)) {
        $tags = 'table|td|th|tr|i|b|u|strong|img|p|br|div|strong|em|ul|ol|li|dl|dd|dt|a';
    }
    //允许的HTML标签
    $text    =    preg_replace('/<('.$tags.')( [^><\[\]]*)>/i','[\1\2]',$text);
    //过滤多余html
    $text    =    preg_replace('/<\/?(html|head|meta|link|base|basefont|body|bgsound|title|style|script|form|iframe|frame|frameset|applet|id|ilayer|layer|name|script|style|xml)[^><]*>/i','',$text);
    //过滤合法的html标签
    while(preg_match('/<([a-z]+)[^><\[\]]*>[^><]*<\/\1>/i',$text,$mat)){
        $text=str_replace($mat[0],str_replace('>',']',str_replace('<','[',$mat[0])),$text);
    }
    //转换引号
    while(preg_match('/(\[[^\[\]]*=\s*)(\"|\')([^\2=\[\]]+)\2([^\[\]]*\])/i',$text,$mat)){
        $text=str_replace($mat[0],$mat[1].'|'.$mat[3].'|'.$mat[4],$text);
    }
    //过滤错误的单个引号
    while(preg_match('/\[[^\[\]]*(\"|\')[^\[\]]*\]/i',$text,$mat)){
        $text=str_replace($mat[0],str_replace($mat[1],'',$mat[0]),$text);
    }
    //转换其它所有不合法的 < >
    $text    =    str_replace('<','&lt;',$text);
    $text    =    str_replace('>','&gt;',$text);
    $text    =    str_replace('"','&quot;',$text);
     //反转换
    $text    =    str_replace('[','<',$text);
    $text    =    str_replace(']','>',$text);
    $text    =    str_replace('|','"',$text);
    //过滤多余空格
    $text    =    str_replace('  ',' ',$text);
    return $text;
}

转载于:https://www.cnblogs.com/picaso/archive/2012/03/20/2408877.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值