现在的位置: 首页php>正文
rss
php过滤表单提交的危险代码
2013年08月13日 php 评论关闭 ⁄ 被围观 14,797 次+

php过滤提交表单的html代码里可能有被利用引入外部危险内容的代码。例如,有些时候用户提交表单中含有html内容,但这可能造成显示页面布局混乱,需要过滤掉。

  1. functionuhtml($str)
  2. {
  3. $farr=array(
  4. "/\s+/",//过滤多余空白
  5. //过滤<script>等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object>的过滤
  6. "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isu",
  7. "/(<[^>]*)on[a-za-z]+\s*=([^>]*>)/isu",//过滤javascript的on事件
  8. );
  9. $tarr=array(
  10. "",
  11. "<\1\2\3>",//如果要直接清除不安全的标签,这里可以留空
  12. "\1\2",
  13. );
  14. $str=preg_replace($farr,$tarr,$str);
  15. return$str;
  16. }
本文地址:/37/1242.html
如非注明则为本站原创文章,欢迎转载。转载请注明转载自:moon's blog
 

抱歉!评论已关闭.