应用错误收集

我计划让网站用户上传自己的SVG文档，并使用inkscape或svg2pdf进行渲染。用户要么未经身份验证，要么经过一个简单的注册过程，所以我希望有一些黑客尝试。因此，我应该感谢有关我可以采取哪些过滤措施以最大限度地减少安全威胁的指示。

Inkscape似乎并没有受到JavaScript onload tags的困扰，并且愉快地呈现内容而没有发生任何不幸事件（也就是说，我不能让Firefox 10使用该方法来咳嗽警报框。）< / LI>
我担心<image xlink:href />标记可能会使用外部URI链接到巨大或格式错误的位图图像 - 从理论上讲，这可能会导致服务崩溃。有没有一种简单的方法来遍历XML文档来过滤这些？我当然可以使用XMLReader轻松完成这项工作，但是想知道我是否可能需要为{onload'处理onload之类的事情（尽管Firefox只是将其拒绝为无效，所以这可能是一种不必要的担心）。 Sidenode：图像本身是可以接受的，但我认为我要么要求它们是内联data:，要么是白名单可接受的目标URI，文件大小限制。
是否有任何SVG指令（特别是渲染文本）可能包含系统文件的文本内容，例如/etc/passwd等？
我还可以采取一种方法来验证SVG规范。这是我提出的另一个问题的主题here。

我正在使用PHP 5.2与XMLReader和XMLWriter，但其他基于PHP流的系统是可以接受的。系统是开发的OS X 10.6.8和生产中的LAMP。