dir*_*ion 1 html php sanitization escaping
我网站上的用户可以发布新闻.但就目前而言,就HTML而言,它都是荣誉系统.
function postNewsItem($subject, $body, $userid){
$time = time();
$subject = mysql_real_escape_string($subject);
$body = mysql_real_escape_string($body);
$q = "INSERT INTO news (subject, body, userid) VALUES ('$subject', '$body', '$userid')";
$result = mysql_query($q, $this->connection);
return 1;
}
我希望用户能够链接到图像,构建表格,加粗他们的文字等,但我不希望他们能够链接到恶意脚本和什么不是.我知道有一些方法可以从用户输入中转义HTML,但有没有办法在允许某些标签的同时执行此操作?
你可以使用strip_tags并允许某些标签
<?php
$allow = '<table><thead><th><tr><td><tbody><tfoot><img><a><b><i><u>';
$body = mysql_real_escape_string(strip_tags($body, $allow));
?>
当然,你需要消毒一些属性