我正在从头开始写博客软件(主要是作为一种学习体验)。我允许博客所有者发布新帖子的方法是,他们将帖子键入一个表单(文本区域),包括格式标记(如<br />),然后使用PHP创建一个文件,并使用文本区域的内容进行编写。然后通过iframe将该文件加载到博客主页中。
我的问题是:我如何才能使其合理安全?目前,所有者可以键入任何内容(因此可能添加javascript或其他内容)。所有者界面在登录屏幕后面,文本区域的内容永远不会保存到数据库中,只有一个文件,所以我的MySQL足够安全。只是担心博客所有者(或任何通过登录屏幕的人)可能会创建危险的文件。
有什么建议吗??
好吧,您可以使用strip_tag来剥离不允许的标签。
echo strip_tags('<p>Hello, I am a paragraph. <a href="#">And I am a link</a></p><script>// I am something that will be stripped</script>','<p><a>');
将输出
<p>Hello, I am a paragraph. <a href="#">And I am a link</a></p>// I am something that will be stripped<p><a>