php melarang kod kotak input

Dengan perkembangan pesat Internet, semakin banyak laman web memilih untuk menggunakan bahasa PHP untuk pembangunan. Dalam PHP, kotak input adalah elemen yang sangat biasa yang boleh digunakan untuk menerima input pengguna. Walau bagaimanapun, dalam beberapa kes kami ingin menghalang pengguna daripada memasukkan kod tertentu, seperti skrip JavaScript atau teg HTML, untuk mengelakkan serangan berniat jahat dan suntikan kod. Jadi, bagaimana untuk melaksanakan larangan kod kotak input dalam PHP? Di bawah ini kami akan memperkenalkan anda kepada beberapa kaedah pelaksanaan.

Kaedah 1: Gunakan fungsi htmlspecialchars

Fungsi htmlspecialchars ialah fungsi yang disediakan oleh PHP untuk menukar aksara khas kepada entiti HTML Fungsinya adalah untuk mengelakkan masalah memasukkan dan mengeluarkan tag HTML. Apabila kod kotak input dilarang, kami boleh menggunakan fungsi ini untuk menukar teg HTML dalam kotak input kepada entiti, dengan itu berkesan menghalang pengguna daripada memasukkan kod berniat jahat. Kod khusus adalah seperti berikut:

<?php
$input = $_POST['input']; //获取用户输入的值
$input = htmlspecialchars($input, ENT_QUOTES); //将输入框的HTML标签转化为实体
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出转化后的值

Perlu diingat bahawa kaedah ini hanya boleh menghalang suntikan tag HTML dan tidak berkuasa terhadap kod berniat jahat seperti skrip JavaScript.

Kaedah 2: Gunakan fungsi preg_replace

Fungsi preg_replace ialah fungsi yang disediakan oleh PHP untuk menggantikan corak padanan dalam rentetan Ia boleh menggantikan rentetan yang ditentukan dengan kandungan lain dengan mudah. Apabila menekan kod kotak input, kami boleh menggunakan fungsi ini untuk memadankan kod hasad yang dimasukkan oleh pengguna dan menggantikannya dengan kandungan lain. Kod khusus adalah seperti berikut:

<?php
$input = $_POST['input']; //获取用户输入的值
$pattern = '/<(\s*\/?\s*)script(\s*|\s+.*)>/i'; //匹配script标签
$input = preg_replace($pattern, ' ', $input); //替换为一个空格
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出替换后的值

Kaedah ini boleh memadankan lebih banyak kod berniat jahat dengan menetapkan mod padanan yang berbeza dan menggantikannya dengan kandungan yang berbeza. Tetapi harus diingat bahawa apabila menggunakan ungkapan biasa untuk memadankan rentetan, anda mesti memberi perhatian kepada keselamatan dan ketepatan.

Kaedah 3: Gunakan fungsi strip_tags

Fungsi strip_tags ialah fungsi yang disediakan oleh PHP untuk menapis tag HTML dan PHP dalam rentetan Ia boleh mengalih keluar tag HTML dalam kotak input dan dengan mudah Tag PHP ditapis untuk mengelakkan suntikan kod berniat jahat. Kod khusus adalah seperti berikut:

<?php
$input = $_POST['input']; //获取用户输入的值
$input = strip_tags($input); //过滤掉HTML和PHP标签
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出过滤后的值

Perlu diingat bahawa menggunakan kaedah ini akan menapis semua teg HTML dan PHP dalam kotak input, yang mungkin menjejaskan pengalaman input pengguna.

Kaedah 4: Gunakan perpustakaan pihak ketiga

Selain menggunakan fungsi PHP sendiri, kami juga boleh memilih untuk menggunakan beberapa perpustakaan pihak ketiga untuk memproses kod hasad dalam kotak input pengguna. Sebagai contoh, HTMLPurifier ialah perpustakaan PHP untuk menapis dan membersihkan teks HTML dan XML. Ia boleh menapis teg dan atribut yang tidak selamat, dengan itu berkesan menghalang suntikan kod berniat jahat.

Di atas adalah beberapa cara untuk melumpuhkan kod kotak input dalam PHP Kaedah yang mana untuk digunakan boleh dipilih mengikut situasi sebenar. Perlu diingatkan bahawa apabila memproses data input pengguna, anda mesti memberi perhatian kepada keselamatan dan mengelakkan serangan berniat jahat dan suntikan kod.

Atas ialah kandungan terperinci php melarang kod kotak input. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!