允许用户在PHP中提交HTML

我想允许很多用户提交用户配置文件的html,我目前试图过滤掉我不想要的内容,但我现在想要更改并使用白名单方法.

这是我目前的非白名单方法

function FilterHTML($string) {
    if (get_magic_quotes_gpc()) {
        $string = stripslashes($string);
    }
    $string = html_entity_decode($string, ENT_QUOTES, "ISO-8859-1");
    // convert decimal
    $string = preg_replace('/&#(\d+)/me', "chr(\\1)", $string); // decimal notation
    // convert hex
    $string = preg_replace('/&#x([a-f0-9]+)/mei', "chr(0x\\1)", $string); // hex notation
    //$string = html_entity_decode($string, ENT_COMPAT, "UTF-8");
    $string = preg_replace('#(&\#*\w+)[\x00-\x20]+;#U', "$1;", $string);
    $string = preg_replace('#(<[^>]+[\s\r\n\"\'])(on|xmlns)[^>]*>#iU', "$1>", $string);
    //$string = preg_replace('#(&\#x*)([0-9A-F]+);*#iu', "$1$2;", $string); //bad line
    $string = preg_replace('#/*\*()[^>]*\*/#i', "", $string); // REMOVE /**/
    $string = preg_replace('#([a-z]*)[\x00-\x20]*([\`\'\"]*)[\\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iU', '...', $string); //JAVASCRIPT
    $string = preg_replace('#([a-z]*)([\'\"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iU', '...', $string); //VBSCRIPT
    $string = preg_replace('#([a-z]*)[\x00-\x20]*([\\\]*)[\\x00-\x20]*@([\\\]*)[\x00-\x20]*i([\\\]*)[\x00-\x20]*m([\\\]*)[\x00-\x20]*p([\\\]*)[\x00-\x20]*o([\\\]*)[\x00-\x20]*r([\\\]*)[\x00-\x20]*t#iU', '...', $string); //@IMPORT
    $string = preg_replace('#([a-z]*)[\x00-\x20]*e[\x00-\x20]*x[\x00-\x20]*p[\x00-\x20]*r[\x00-\x20]*e[\x00-\x20]*s[\x00-\x20]*s[\x00-\x20]*i[\x00-\x20]*o[\x00-\x20]*n#iU', '...', $string); //EXPRESSION
    $string = preg_replace('#]*>#i', "", $string);
    $string = preg_replace('#]*)?>#i', '', $string); // strip out tables
    $string = preg_replace('/(potspace|pot space|rateuser|marquee)/i', '...', $string); // filter some words
    //$string = str_replace('left:0px; top: 0px;','',$string);
    do {
        $oldstring = $string;
        //bgsound|
        $string = preg_replace('#]*>#i', "...", $string);
    } while ($oldstring != $string);
    return addslashes($string);
}

上面的工作非常好,经过2年的使用后我从来没有遇到过任何问题,但是对于白名单方法,有什么类似于stackoverflows的C#方法,但在PHP中？ http://refactormycode.com/codes/333-sanitize-html

HTML Purifier是一个用PHP编写的符合标准的HTML过滤器库.HTML Purifier不仅会删除所有恶意代码(更好地称为XSS),并且具有经过全面审核,安全且允许的白名单,还可以确保您的文档符合标准,只有通过全面了解W3C的规范才能实现.

使用DOMDocument正确分析它可能更安全,使用removeChild()删除不允许的标记,然后获得结果.使用正则表达式过滤东西并不总是安全的,特别是如果事情开始变得如此复杂.黑客可以找到一种方法来欺骗你的过滤器,论坛和社交网络确实很清楚.

例如,浏览器在<.之后忽略空格.你的正则表达式过滤器<脚本,但如果我使用

有风吹过best

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1通过socket.io发送匿名函数？
• 2在Storyboard中使用UITableViewCell时使用alloc和init
• 3Rails 3 - 公用文件夹中的MP3文件
• 4适当的git工作流程方案,多个开发人员在同一个任务上工作
• 5逐步使用分支提取子树
• 6mongoDB集名称不匹配
• 7如何通过Javascript获取Magento baseUrl然后在jquery.hello-lightbox.min中使用它？
• 8使用Visual Studio 2012进行部署时删除ConnectionString
• 9覆盖onDraw()或draw()？
• 10"else"错误中出现意外的'else'
• 11在Haskell中,(=="")是什么意思？
• 12获取对调用方法的对象的引用？
• 13如何在OSX中更新monodevelop3.0.6并保留mono3.0.3？
• 14写入文件时了解logcat输出
• 15从iframe更改父元素不起作用？
• 16将jqPlot图保存到图像文件
• 17XCode 4.5中的分布式构建？
• 18飞镖货币格式
• 19如何以编程方式训练SpeechRecognitionEngine并将音频文件转换为C#或vb.net中的文本
• 20MySQL UPDATE随机数介于1-3之间