php过滤恶意html字符

您当前所在位置：IT猫扑网 > 网络编程 > PHP编程 > php过滤恶意html字符

php过滤恶意html字符 时间：2015-06-28 00:00 来源：IT猫扑网|http://www.itmop.com/ 作者：网管联盟 我要评论(0)

现在用户在前台提交内容的时候，一般都会使用html编辑器，不仅丰富了提交内容，而且能够带来更好的用户体验度，但是这样做的危险就是有些用户会提交恶意html代码和其他非法字符，可能会造成页面的混乱，用上下面这个过滤函数你就可以高枕无忧了。。。

看下面php代码：

<?php
function filter($str)
{
$farr = array(
&/s+/&, //过滤多余的空白
&/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU&, //过滤 script等恶意代码,还可以加入object的过滤flash
&/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU&, //过滤javascript的on事件
);
$tarr = array(
& &,
&＜\1\2\3＞&, //如果要直接清除不安全的标签，这里可以留空
&\1\2&,
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
}
//小小演示下
echo filter(&<script>alert('www.itmop.com'></script>&);
?>

运行结果：＜script＞alert('www.itmop.com'>＜/script＞

看到结果了吧，很轻松解决安全危机。。。

关键词标签：php,html,字符

文章评论

查看所有0条评论>>