php 过滤危险html代码
更新时间:2009年06月29日 23:28:41 作者:
用PHP过滤html里可能被利用来引入外部危险内容的代码。有些时候,需要让用户提交html内容,以便丰富用户发布的信息,当然,有些可能造成显示页面布局混乱的代码也在过滤范围内。
#用户发布的html,过滤危险代码
function uh($str)
{
$farr = array(
"/\s+/", //过滤多余的空白
"/<(\/?)(scripti?framestylehtmlbodytitlelinkmeta\?\%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件
);
$tarr = array(
" ",
"<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空
"\\1\\2",
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
}
复制代码 代码如下:
function uh($str)
{
$farr = array(
"/\s+/", //过滤多余的空白
"/<(\/?)(scripti?framestylehtmlbodytitlelinkmeta\?\%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件
);
$tarr = array(
" ",
"<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空
"\\1\\2",
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
}
相关文章
本文给大家分享了2个php用于实现黑白名单的实用函数,分别是安全IP检测函数和获取客户端IP函数,注释里解释的非常清楚,这里我就不多废话了。2015-03-03
解决phpmyadmin中文乱码问题。。。...2007-01-01
官方并不建议你将Non Thread Safe 应用于生产环境,所以我们选择Thread Safe 版本的PHP来使用。2010-12-12
php目前已经成为国内的主流web developer的首选开发语言,其强大的面向对象容易使初学者找不到思绪,一头雾水,借助此文希望对初学者有所帮助,假设Crossfire用php来开发2012-02-02
随着企业化的管理越来越规范,各种项目管理系统中,都需要加入到邮件实时通知功能,所以在项目中如何整合发邮件功能,其实也是很重要的一点。本文为大家介绍了PHP实现邮件实时通知功能的示例代码,需要的可以参考一下2022-12-12
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部攻击的2012-07-07
这篇文章主要介绍了PHP常见的几种攻击方式,结合实例形式总结分析了php SQL注入、XSS攻击、文件包含漏洞等php常见攻击方式,需要的朋友可以参考下2019-04-04
今天一个网友在群里发了个题目不难,但是可能会错,大家可以看看啊。2011-07-07
这篇文章主要介绍了php使用simple_html_dom解析HTML的方法,实例分析了php针对dom节点操作的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下2016-07-07
本周迎来2015年编程语言界的两件大事,Swift7 开源, PHP7 发布,这两件大事,都是可以载入相应的编程语言的史册级的事件,感兴趣的小伙伴们可以参考一下2015-12-12
最新评论