这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险,给出一个安全的显示格式化输出的方法。没有过滤输出的危险如果你仅仅获得用户的输入然后显示它,你可能会破坏你的输出页面,如一些人能恶意地在他们提交的输入框中嵌入javascript脚本:This is my comment. .<br />这样,即使用户不是恶意的,也会破坏你的一些HTML的语句,如一个表格突然中断,或是页面显示不完整。<br /><br />只显示无格式的文本<br />这是一个最简单的解决方案,你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数,将转化全部的字符为HTML的编码。<br />如<b>将转变为<b>,这可以保证不会有意想不到的HTML标记在不适当的时候输出。<br />这是一个好的解决方案,如果你的用户只关注没有格式的文本内容。但是,如果你给出一些可以格式化的能力,它将更好一些<br /><br />Formatting with Custom Markup Tags<br />用户自己的标记作格式化<br />你可以提供特殊的标记给用户使用,例如,你可以允许使用<b>...加重显示,<i>...斜体显示,这样做简单的查找替换操作就可以了:<br />$output = str_replace("<b>", "<b>", $output);<br />$output = str_replace("<i>", "<i>", $output);<br />再作的好一点,我们可以允许用户键入一些链接。例如,用户将允许输入[link="url"]...[/link],我们将转换为<a href="">...语句<br />这时,我们不能使用一个简单的查找替换,应该使用正则表达式进行替换:<br />$output = ereg_replace('[link="([[:graph:]]+)"]', '<a href="1">', $output);<br />ereg_replace()的执行就是:<br />查找出现[link="..."]的字符串,使用<a href="..."> 替换它<br />[[:graph:]]的含义是任何非空字符,有关正则表达式请看相关的文章。<br /><br />在outputlib.php的format_output()函数提供这些标记的转换,总体上的原则是:<br />调用htmlspecialchars()将HTML标记转换成特殊编码,将不该显示的HTML标记过滤掉,<br />然后,将一系列我们自定义的标记转换相应的HTML标记。<br /><?php<br /><br />function format_output($output) {<br />/****************************************************************************<br />