我正在从头开始写博客软件(主要是作为学习经历)。我允许博客所有者发布新帖子的方法是让他们将帖子键入表单(textarea),包括格式化标签(如<br />),然后使用PHP创建文件并使用文本区域的内容。然后通过iframe将此文件加载到主博客页面中。
我的问题是:我怎样才能使这个合理安全?目前所有者可以输入任何内容(因此可能会添加javascript或其他内容)。所有者界面在登录屏幕后面,textarea内容永远不会保存到数据库,只是一个文件,所以我的MySQL足够安全。只是担心博客所有者(或任何超过登录界面的人)可能会创建危险文件。
有什么建议吗?
答案 0 :(得分:0)
好吧,您可以使用strip_tags来删除不允许的标记。
echo strip_tags('<p>Hello, I am a paragraph. <a href="#">And I am a link</a></p><script>// I am something that will be stripped</script>','<p><a>');
会输出
<p>Hello, I am a paragraph. <a href="#">And I am a link</a></p>// I am something that will be stripped<p><a>