我用htmlspecialchars将网页中的字符串都转换了,但是输出的时候怎么输出呢?
$info = "<IMG src=\"http://localhost:8004/logo.jpg\">";
$info_two = htmlspecialchars($info);
echo $info_twoh后输出(在页面源代码中显示)的是<IMG src="http://localhost:8004/logo.jpg">,在页面上显示的是$info的内容,我想让在页面显示图片该怎么做呢?必须用正则表达式替换里面的<之类的字符么?
急急急
$info = "<IMG src=\"http://localhost:8004/logo.jpg\">";
$info_two = htmlspecialchars($info);
echo $info_twoh后输出(在页面源代码中显示)的是<IMG src="http://localhost:8004/logo.jpg">,在页面上显示的是$info的内容,我想让在页面显示图片该怎么做呢?必须用正则表达式替换里面的<之类的字符么?
急急急
解决方案 »
- 关于让程序暂停一会的深入理解
- 超大文件的上传
- 跪求了啊!!!
- my sql4.0数据导入到4.1乱码的问题,进来看详细情况... 急 phpwind论坛
- 大家看看这个正则表达式哪里有问题啊?
- 请问:如何将一个时间戳转换为: 2003-12-09 12:00 的形式?
- php中执行die()了以后对服务器端压力不大吧
- 独享带宽1MB的意思是 用户下载服务器的数据最多能达到125KB每秒 但是我想问如果2个用户正在同时下载 是不是应该要减半了
- ajax返回一对的html代码 求人解答
- 敏感信息泄漏phpinfo
- class="${$index++%2?'alt':''} ${$index<=2?'first':''}" 是什么意思?
- 如何实现将客户的留言信息发送到电子邮箱中
$str = "Jane & 'Tarzan'";
echo html_entity_decode($str);
echo "<br />";
echo html_entity_decode($str, ENT_QUOTES);
echo "<br />";
echo html_entity_decode($str, ENT_NOQUOTES);
?>
htmlspecialchars这个是防止,比如你写个留言本,有人去留言写<script src="xx"></script><iframe>,这个被显出来容易挂病毒都很容易,和数据库无关
如果是html编辑器,一般的做法是保留大部分代码,过滤部分可能存在危险的代码,如script, iframe等等
如果不是html编辑器,那他的本意就是不让提交html,所以也没有必要还原代码了再有就是,不知道你要干什么,这个编辑器是你写的还是别人写的或是别人写的给你用,你能不能修改源代码
$tags = array(
"'<iframe[^>]*?>.*?</iframe>'is",
"'<frame[^>]*?>.*?</frame>'is",
"'<script[^>]*?>.*?</script>'is",
"'<head[^>]*?>.*?</head>'is",
"'<title[^>]*?>.*?</title>'is",
"'<meta[^>]*?>'is",
"'<link[^>]*?>'is",
);
return preg_replace($tags, "", $content);
}
当magic_quotes_gpc = on 时将自动进行转义(默认是on) 你可在程序中用get_magic_quotes_gpc()检查他的状态
程序为:
if (get_magic_quotes_gpc()==1){
$name=stripcslashes($_POST["name"]);
}else{
$name=$_POST["name"];
}