代码之家 › 专栏 › 技术社区 › Kyle Cureau

在用户生成的标记中如何处理ASCII转义字符?

user-generated-content web-standards ascii xhtml php

Kyle Cureau · 技术社区 · 14 年前

我在用 HTML Purifier ,一个PHP“过滤器,用于防止XSS并确保符合标准的输出”,用于清理/标准化用户输入的标记。

这是用户输入标记的示例:

<font face="'Times New Roman', Times">TEST</font>

产生:

<span style="font-family:&quot;Times New Roman&quot;, Times;">TEST</span>

&quot 甚至不是一个引语的转义字符。既然我以后要使用这个用户生成的内容,那么这里的最佳实践是什么?

2 回复 | 直到 14 年前

Pekka 14 年前

我看没问题。

style 属性。

如果我不是忽略了什么,我会说这是很好的使用。

bcosca 14 年前

输出是XHTML有效的,但实体转换是错误的。 <img src="/test" alt="I'm ok"/> <img src="/test" alt="I"m ok">

一个简单的例子就足够了:

$allowed_tags='<font>';
echo htmlspecialchars(strip_tags(rawurldecode($input),$allowed_tags),ENT_COMPAT,'UTF-8');

但它不会将<font>标记转换为<span>。

推荐文章

Robo Robok · 为什么我无法使用Dom\HTMLDocument搜索标签?

3 月前

KevInSol · 在FreeBSD的配置阶段,从源代码构建PHP时找不到libjpeg

3 月前

Karlo · PHP Sqlite PDO最新版本

3 月前

biera · PHP:pntl_exec即使提供了有效的可执行路径也无法工作

3 月前

Malte · 检查远程服务器上是否存在文件(使用PHP)[关闭]

3 月前

Linesofcode · PhpStorm智能感知在方法链+多个类的情况下无法正常工作

3 月前

Artem · 如何使用php将zip存档中的每个文件压缩到未压缩的大小?[副本]

4 月前

Razvan Zamfir · 如何在Laravel 8应用程序中显示多选的选定选项?

4 月前

wqyutv · 当找不到文件时,任何破坏错误的东西都不会出现,我该怎么解决这个问题?

4 月前

Bard.Mus · 迁移后的数据库字符集环境

4 月前