我的网站上有一个评论表单,目前我会过滤掉所有的HTML并将其转换为纯文本,并用有趣的单词替换坏词。我希望能够允许用户发布图片。我无法看到如何将其合并到评论页面,因此将其设置在专门用于发布图像的用户的单独页面上。但是,我仍然不想允许除img之外的任何其他HTML。另外,防止sql注入。
有没有人有任何想法?
感谢。
答案 0 :(得分:4)
两种不错的方法是使用Tidy或HTMLPurifier。两者都可以很好地过滤HTML,并且可以高度自定义以满足您的需求。
使用净化器(我根据使用经验说话),它可以让你添加如下内容:
img[src,alt,title]
允许的tags属性,该属性仅允许img标记中的那些属性。有关更多信息/用法,请访问网站。
答案 1 :(得分:2)
是的,您可以将允许的标签列表传递给php的strip_tags()函数:
$clean_text = strip_tags($html_text, "<img>") ;