现在的位置: 首页Php>正文
php过滤表单提交的危险代码
2013年08月13日 Php 评论关闭 ⁄ 被围观 11,375 次+

PHP过滤提交表单的html代码里可能有被利用引入外部危险内容的代码。例如,有些时候用户提交表单中含有html内容,但这可能造成显示页面布局混乱,需要过滤掉。

  1. function uhtml($str)     
  2. {     
  3.     $farr = array(     
  4.         "/\s+/"//过滤多余空白     
  5.          //过滤 <script>等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object>的过滤     
  6.         "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU",    
  7.         "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",//过滤javascript的on事件     
  8.    );     
  9.    $tarr = array(     
  10.         " ",     
  11.         "<\1\2\3>",//如果要直接清除不安全的标签,这里可以留空     
  12.         "\1\2",     
  13.    );     
  14.   $str = preg_replace$farr,$tarr,$str);     
  15.    return $str;     
  16. }  
本文地址:http://www.92csz.com/37/1242.html
如非注明则为本站原创文章,欢迎转载。转载请注明转载自:moon's blog
 

抱歉!评论已关闭.