php过滤恶意html字符

您当前所在位置：首页 → 网络编程 → PHP编程 → php过滤恶意html字符

php过滤恶意html字符 时间：2015/6/28来源：IT猫扑网作者：网管联盟我要评论(0)

现在用户在前台提交内容的时候，一般都会使用HTML编辑器，不仅丰富了提交内容，而且能够带来更好的用户体验度，但是这样做的危险就是有些用户会提交恶意html代码和其他非法字符，可能会造成页面的混乱，用上下面这个过滤函数你就可以高枕无忧了。。。

看下面php代码：

<?php
function filter($str)
{
$farr = array(
"/\s+/", //过滤多余的空白
"/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU", //过滤 script等恶意代码,还可以加入object的过滤Flash
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件
);
$tarr = array(
" ",
"＜\\1\\2\\3＞", //如果要直接清除不安全的标签，这里可以留空
"\\1\\2",
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
}
//小小演示下
echo filter("<script>alert('www.itmop.com'></script>");
?>

运行结果：＜script＞alert('www.itmop.com'>＜/script＞

看到结果了吧，很轻松解决安全危机。。。

关键词标签：php,html,字符

相关阅读

文章评论

查看所有0条评论>>