传说中的UBB, 用正则替换那些危险的数据!
比如HTML代码中的<a href="mylink.php">我的链接</a>
UBB代码是我的链接
可以替换为
preg_replace("/\[url=(.+?)\](.+?)\[\/url\]/is", "<a href=\"$1\">$2</a>", $myvar);
i 不区分大小写的匹配.
s 匹配所有字符包括换行
比如HTML代码中的<a href="mylink.php">我的链接</a>
UBB代码是我的链接
可以替换为
preg_replace("/\[url=(.+?)\](.+?)\[\/url\]/is", "<a href=\"$1\">$2</a>", $myvar);
i 不区分大小写的匹配.
s 匹配所有字符包括换行
过滤空格 preg_replace("/ +/"," ",$string);
1、我用的HTML在线编辑器是HTMLAREA那样的所见即所得的,不是用UBB的
2、用JS过滤的话,可以被用户绕过
3、不过滤我觉得是有危险的,比如用户可能输入一些JS恶意代码
让你不用手工输入那些UBB代码了!
你也可以affirm那些用户的数据立即替换为UBB代码,提交的时候,
只替换正确的UBB代码为HTML格式,其它的一律不管!恶意的JS代码,他也必须是<script>开头</script>结尾
你把<和>在PHP脚本中替换掉!
<替换为<
>替换为>
输出到HTML时候显示< 和 >
这样JS还能执行吗?
http://blog.csdn.net/stan23/archive/2006/11/16/1389013.aspx
我用php做了个留言版.用户提交信息时,有专门页面act.php检测!如果输入不完整,就回到原来留言的页面.但用户原先输入的内容已经刷新掉了.想问一下怎么保留原先输入的内容.<急!!>