我所知道的富文本编辑器就是像DZ论坛那样,所见所得那样的。
1:但是我一直有个疑问,不是说客户端提交的数据要过滤吗,不然不就是XXS吗,DZ是UBB的方式处理的是吗?
2:那些富文本编辑器,最后提交到服务器后,那些包含html代码的,能直接存到数据库里面吗,肯定不能允许用户这样吧?
3:还有比如SF的这个Markdown编辑器原理是什么呢,它后台数据库有没有保存我们输入的html,js代码呢?
4:还有像DZ论坛这样的用户发帖,投票什么的,这个编辑器内部是怎么样的,搞不懂,找处理的源码又找不到……
我之前一直使用text文本框的,后台就直接过滤所有标签,就这么简单,但是这样就只能有普通的文本了,没有DZ那样用户发帖那样强大,现在想用一个富文本编辑器,但是不知道php后台该怎与富文本编辑器对接,比如百度的那个,或者SF的这个编辑器。
然后那个富文本编辑器插入图片,那个是上传图片,然后返回图片地址,插入到内容中吗,那DZ的那个上传附件呢,帖子中的图片还会惰性加载呢,这个是怎么实现的呢,如果是直接img标签插入到内容了实现不了吧,或者是用一个什么图片占位符什么的,然后js操作附件数据……
搞不懂,希望高手给我解释一下,我知道原理再去看代码应该会简单许多,谢谢了!
回复内容:
我所知道的富文本编辑器就是像DZ论坛那样,所见所得那样的。
1:但是我一直有个疑问,不是说客户端提交的数据要过滤吗,不然不就是XXS吗,DZ是UBB的方式处理的是吗?
2:那些富文本编辑器,最后提交到服务器后,那些包含html代码的,能直接存到数据库里面吗,肯定不能允许用户这样吧?
3:还有比如SF的这个Markdown编辑器原理是什么呢,它后台数据库有没有保存我们输入的html,js代码呢?
4:还有像DZ论坛这样的用户发帖,投票什么的,这个编辑器内部是怎么样的,搞不懂,找处理的源码又找不到……
我之前一直使用text文本框的,后台就直接过滤所有标签,就这么简单,但是这样就只能有普通的文本了,没有DZ那样用户发帖那样强大,现在想用一个富文本编辑器,但是不知道php后台该怎与富文本编辑器对接,比如百度的那个,或者SF的这个编辑器。
然后那个富文本编辑器插入图片,那个是上传图片,然后返回图片地址,插入到内容中吗,那DZ的那个上传附件呢,帖子中的图片还会惰性加载呢,这个是怎么实现的呢,如果是直接img标签插入到内容了实现不了吧,或者是用一个什么图片占位符什么的,然后js操作附件数据……
搞不懂,希望高手给我解释一下,我知道原理再去看代码应该会简单许多,谢谢了!
html代码直接存数据库,用户写的什么就存什么。
各种编辑器都是生成html代码,然后点击提交html的代码。
这有什么好疑问的吗?
html有个pre标签,你造吗?
要防止JS注入。
很简单的啊,PHP输出到前端之前,用str_replace函数,把替换成& gt;(去掉空格)等等。
请百度“HTML特殊字符编码”。
保证标签不会起作用,JS代码不会执行就完了。
防御XSS攻击,最简单粗暴的做法就是用htmlspecialchars把特殊字符(&,",',)替换为HTML实体(&"'<>)后输出.
<code><?php //ENT_QUOTES表示把单引号也替换'
$html = htmlspecialchars($html, ENT_QUOTES, 'UTF-8');
//换行替换成<br />
$html = str_replace(array("\r\n", "\r", "\n"), '<br>', $html);
echo $htm;</code>
上面这种实现非常简单,而且安全,显示也非常清爽.编辑器就一个普通的文本框textarea就好了.
防御XSS攻击,最复杂的做法就是自己写正则过滤,不过还好有HTMLPurifier库,除了能过滤XSS代码,还能把不完整的标签补全或者去掉.
<code><?php require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); echo $purifier->purify($html);</code>
可以通过BBCode或者Markdown标记定义一些HTML功能,比如BBCode:
<code>[b]粗体文字[/b] [color=#FF0000]红色文字[/color] [img=PunBB bbcode test]http://127.0.0.1:8080/punbb/img/test.png[/img] [url=http://127.0.0.1:8080/punbb/]PunBB forum[/url]</code>
用户在文本框里输入BBCode标签,页面输出时把BBCode正则替换成HTML,经过HTMLPurifier过滤后安全输出.
SF的编辑器是markdown语法编辑器,源代码在此:
一个结构清晰的,易于维护的,现代的PHP Markdown解析器
我还看到网上有那种微信编辑器,纠结
php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PMphp把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。
php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。
php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PMphp除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。
php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。
php怎么判断有没有小数点Apr 20, 2022 pm 08:12 PMphp判断有没有小数点的方法:1、使用“strpos(数字字符串,'.')”语法,如果返回小数点在字符串中第一次出现的位置,则有小数点;2、使用“strrpos(数字字符串,'.')”语句,如果返回小数点在字符串中最后一次出现的位置,则有。
php字符串有没有下标Apr 24, 2022 am 11:49 AMphp字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。
php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。
php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
