你可以在這個(gè)頁面下載這個(gè)文檔附帶的文件，也可以在文件下載中的字符處理中下載這個(gè)文檔描述如何安全顯示的有格式的用戶輸入。我們將討論沒有經(jīng)過過濾的輸出的危險(xiǎn)，給出一個(gè)安全的顯示格式化輸出的方法。

沒有過濾輸出的危險(xiǎn)

　　如果你僅僅獲得用戶的輸入然后顯示它，你可能會(huì)破壞你的輸出頁面，如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本：

This is my comment.
＜script language="javascript:
alert('Do something bad here!')">.

　　這樣，即使用戶不是惡意的，也會(huì)破壞你的一些HTML的語句，如一個(gè)表格突然中斷，或是頁面顯示不完整。


只顯示無格式的文本

　　這是一個(gè)最簡(jiǎn)單的解決方案，你只是將用戶提交的信息顯示為無格式的文本。使用htmlspecialchars()函數(shù)，將轉(zhuǎn)化全部的字符為HTML的編碼。

　　如＜b>將轉(zhuǎn)變?yōu)?lt;b>，這可以保證不會(huì)有意想不到的HTML標(biāo)記在不適當(dāng)?shù)臅r(shí)候輸出。
這是一個(gè)好的解決方案，如果你的用戶只關(guān)注沒有格式的文本內(nèi)容。但是，如果你給出一些可以格式化的能力，它將更好一些。

Formatting with Custom Markup Tags
用戶自己的標(biāo)記作格式化

　　你可以提供特殊的標(biāo)記給用戶使用，例如，你可以允許使用...加重顯示，...斜體顯示，這樣做簡(jiǎn)單的查找替換操作就可以了： $output = str_replace("[b]", "＜b>", $output);
$output = str_replace("[i]", "＜i>", $output);

　　再作的好一點(diǎn)，我們可以允許用戶鍵入一些鏈接。例如，用戶將允許輸入[link="url"]...[/link]，我們將轉(zhuǎn)換為＜a href="">...＜/a>語句

　　這時(shí)，我們不能使用一個(gè)簡(jiǎn)單的查找替換，應(yīng)該使用正則表達(dá)式進(jìn)行替換：
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);

ereg_replace()的執(zhí)行就是：
查找出現(xiàn)[link="..."]的字符串，使用＜a href="..."> 替換它
[[:graph:]]的含義是任何非空字符，有關(guān)正則表達(dá)式請(qǐng)看相關(guān)的文章。


　　在outputlib.php的format_output()函數(shù)提供這些標(biāo)記的轉(zhuǎn)換，總體上的原則是：
調(diào)用htmlspecialchars()將HTML標(biāo)記轉(zhuǎn)換成特殊編碼，將不該顯示的HTML標(biāo)記過濾掉，
然后，將一系列我們自定義的標(biāo)記轉(zhuǎn)換相應(yīng)的HTML標(biāo)記。

　　請(qǐng)參看下面的源代碼：
＜?php


function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */
$output = str_replace('[p]', '＜p>', $output);

/* bold */
$output = str_replace('', '＜b>', $output);
$output = str_replace('', '＜/b>', $output);

/* italics */
$output = str_replace('', '＜i>', $output);
$output = str_replace('', '＜/i>', $output);

/* preformatted */
$output = str_replace('[pre]', '＜pre>', $output);
$output = str_replace('[/pre]', '＜/pre>', $output);

/* indented blocks (blockquote) */
$output = str_replace('[indent]', '＜blockquote>', $output);
$output = str_replace('[/indent]', '＜/blockquote>', $output);

/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '＜a name="\\1">＜/a>', $output);

/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);
$output = str_replace('[/link]', '＜/a>', $output);

return nl2br($output);
}

?>

一些注意的地方:

　　記住替換自定義標(biāo)記生成HTML標(biāo)記字符串是在調(diào)用htmlspecialchars()函數(shù)之后，而不是在這個(gè)調(diào)用之前，否則你的艱苦的工作在調(diào)用htmlspecialchars()后將付之東流。

　　在經(jīng)過轉(zhuǎn)換之后，查找HTML代碼將是替換過的，如雙引號(hào)"將成為"

nl2br()函數(shù)將回車換行符轉(zhuǎn)換為＜br>標(biāo)記，也要在htmlspecialchars()之后。

　　當(dāng)轉(zhuǎn)換[links=""] 到 ＜a href="">, 你必須確認(rèn)提交者不會(huì)插入javascript腳本，一個(gè)簡(jiǎn)單的方法去更改[link="javascript 到 [link=" javascript, 這種方式將不替換，只是將原本的代碼顯示出來。

outputlib.php
在瀏覽器中調(diào)用test.php，可以看到format_output() 的使用情況

正常的HTML標(biāo)記不能被使用,用下列的特殊標(biāo)記替換它:

- this is bold
- this is italics
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落
[pre]預(yù)先格式化[/pre]
[indent]交錯(cuò)文本[/indent]

這些只是很少的標(biāo)記，當(dāng)然，你可以根據(jù)你的需求隨意加入更多的標(biāo)記

Conclusion
結(jié)論

這個(gè)討論提供安全顯示用戶輸入的方法，可以使用在下列程序中

留言板
用戶建議
系統(tǒng)公告
BBS系統(tǒng)