PHP中实现支持显示格式化的用户输入，php格式化

首頁

後端開發

php教程

PHP中实现支持显示格式化的用户输入，php格式化_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:23 AM

php實現支援顯示格式化使用者的輸入

PHP中实现支持显示格式化的用户输入，php格式化

你可以在这个页面下载这个文档附带的文件，也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险，给出一个安全的显示格式化输出的方法。

没有过滤输出的危险

如果你仅仅获得用户的输入然后显示它，你可能会破坏你的输出页面，如一些人能恶意地在他们提交的输入框中嵌入javascript脚本：

This is my comment.
＜script language="javascript:
alert('Do something bad here!')">.

这样，即使用户不是恶意的，也会破坏你的一些HTML的语句，如一个表格突然中断，或是页面显示不完整。

只显示无格式的文本

这是一个最简单的解决方案，你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数，将转化全部的字符为HTML的编码。

如＜b>将转变为，这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案，如果你的用户只关注没有格式的文本内容。但是，如果你给出一些可以格式化的能力，它将更好一些。
Formatting with Custom Markup Tags
用户自己的标记作格式化

你可以提供特殊的标记给用户使用，例如，你可以允许使用...加重显示，...斜体显示，这样做简单的查找替换操作就可以了： $output = str_replace("", "＜b>", $output);
$output = str_replace("", "＜i>", $output);

再作的好一点，我们可以允许用户键入一些链接。例如，用户将允许输入[link="url"]...[/link]，我们将转换为＜a href="">...＜/a>语句

这时，我们不能使用一个简单的查找替换，应该使用正则表达式进行替换：
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);

ereg_replace()的执行就是：
查找出现[link="..."]的字符串，使用＜a href="..."> 替换它
[[:graph:]]的含义是任何非空字符，有关正则表达式请看相关的文章。

在outputlib.php的format_output()函数提供这些标记的转换，总体上的原则是：
调用htmlspecialchars()将HTML标记转换成特殊编码，将不该显示的HTML标记过滤掉，
然后，将一系列我们自定义的标记转换相应的HTML标记。
请参看下面的源代码：
＜?php

function format_output($output) {
/****************************************************************************
* Takes a raw string ($output) and formats it for output using a special
* stripped down markup that is similar to HTML
****************************************************************************/

$output = htmlspecialchars(stripslashes($output));

/* new paragraph */
$output = str_replace('[p]', '＜p>', $output);

/* bold */
$output = str_replace('', '＜b>', $output);
$output = str_replace('', '＜/b>', $output);

/* italics */
$output = str_replace('', '＜i>', $output);
$output = str_replace('', '＜/i>', $output);

/* preformatted */
$output = str_replace('[pre]', '＜pre>', $output);
$output = str_replace('[/pre]', '＜/pre>', $output);

/* indented blocks (blockquote) */
$output = str_replace('

', '＜blockquote>', $output); <br />$output = str_replace('

', '＜/blockquote>', $output);

/* anchors */
$output = ereg_replace('\[anchor="([[:graph:]]+)"\]', '＜a name="\\1">＜/a>', $output);

/* links, note we try to prevent javascript in links */
$output = str_replace('[link="javascript', '[link=" javascript', $output);
$output = ereg_replace('\[link="([[:graph:]]+)"\]', '＜a href="\\1">', $output);
$output = str_replace('[/link]', '＜/a>', $output);

return nl2br($output);
}

?>

一些注意的地方:

记住替换自定义标记生成HTML标记字符串是在调用htmlspecialchars()函数之后，而不是在这个调用之前，否则你的艰苦的工作在调用htmlspecialchars()后将付之东流。

在经过转换之后，查找HTML代码将是替换过的，如双引号"将成为"

nl2br()函数将回车换行符转换为＜br>标记，也要在htmlspecialchars()之后。

当转换[links=""] 到＜a href="">, 你必须确认提交者不会插入javascript脚本，一个简单的方法去更改[link="javascript 到 [link=" javascript, 这种方式将不替换，只是将原本的代码显示出来。

outputlib.php
在浏览器中调用test.php，可以看到format_output() 的使用情况

正常的HTML标记不能被使用,用下列的特殊标记替换它:

- this is bold
- this is italics
- this is [link="http://www.phpbuilder.com"]a link[/link]
- this is [anchor="test"]an anchor, and a [link="#test"]link[/link] to the anchor

[p]段落
[pre]预先格式化[/pre]

交错文本

这些只是很少的标记，当然，你可以根据你的需求随意加入更多的标记

Conclusion
结论

这个讨论提供安全显示用户输入的方法，可以使用在下列程序中

留言板
用户建议
系统公告
BBS系统

详细说明:http://php.662p.com/thread-343-1-1.html

PHP做一个网页支持用户上传图片并显示的怎实现

前台:

后台:
$pic_data = $_FILES["myFile"]["tmp_name"];
$pic_size = $_FILES["myFile"]["size"];
$filepic = addslashes(fread(fopen($pic_data, "rb"), $pic_size ));
后面再加上插入数据库的语句就可以了，如："insert into pic(id,picture) values(1,$filepic)"
显示图片:
header("Content-type:image/jpeg");
连接数据库
$result=mysql_query("select * from pic where id=1");
$myrow=mysql_fetch_array($result);
echo ($myrow["picture"]);

PHP怎格式化数字？

PHP格式化数字的函数是number_format

我建议你去下载一个PHP的使用手册，或者看网上的在线手册也行。

www.itlearner.com/code/php/

关于他的用法如下：

语法: string number_format(float number, int [decimals], string [dec_point], string [thousands_sep]);

返回值: 字符串

函数种类: 数学运算

内容说明

本函数用来将浮点参数 number 格式化。若没加参数 decimals 则返回的字符串只要整数部份，加了此参数才依参数指定的小数点位数返回。参数 dec_point 表示小数点的表示方式方法，默认值是 "."，若需要转换成其它的小数点就可以在这个参数改掉。参数 thousands_sep 为整数部份每三位的分隔符号，默认值是 ","。本函数最特别的地方就是参数数目，最少要有一个，也就是欲格式化的字符串；也可以有二个或者四个参数，但不能用三个参数。治募?注意的是指定小数点的位数之后的数字直接舍弃，没有四舍五入的情形。

使用范例

$short_pi = "3.14159";
$my_pi = number_format($short_pi, 2);
echo $my_pi."\n"; // 3.14
$foo = 850017.9021;
$new_foo = number_format($foo, 3, ".", " ");
echo $new_foo."\n"; // 850 017.902
?>

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP：服務器端腳本語言的簡介Apr 16, 2025 am 12:18 AM

PHP是一種服務器端腳本語言，用於動態網頁開發和服務器端應用程序。 1.PHP是一種解釋型語言，無需編譯，適合快速開發。 2.PHP代碼嵌入HTML中，易於網頁開發。 3.PHP處理服務器端邏輯，生成HTML輸出，支持用戶交互和數據處理。 4.PHP可與數據庫交互，處理表單提交，執行服務器端任務。

PHP和網絡：探索其長期影響Apr 16, 2025 am 12:17 AM

PHP在過去幾十年中塑造了網絡，並將繼續在Web開發中扮演重要角色。 1)PHP起源於1994年，因其易用性和與MySQL的無縫集成成為開發者首選。 2)其核心功能包括生成動態內容和與數據庫的集成，使得網站能夠實時更新和個性化展示。 3)PHP的廣泛應用和生態系統推動了其長期影響，但也面臨版本更新和安全性挑戰。 4)近年來的性能改進，如PHP7的發布，使其能與現代語言競爭。 5)未來，PHP需應對容器化、微服務等新挑戰，但其靈活性和活躍社區使其具備適應能力。

為什麼要使用PHP？解釋的優點和好處Apr 16, 2025 am 12:16 AM

PHP的核心優勢包括易於學習、強大的web開發支持、豐富的庫和框架、高性能和可擴展性、跨平台兼容性以及成本效益高。 1)易於學習和使用，適合初學者；2)與web服務器集成好，支持多種數據庫；3)擁有如Laravel等強大框架；4)通過優化可實現高性能；5)支持多種操作系統；6)開源，降低開發成本。

揭穿神話：PHP真的是一種死語嗎？Apr 16, 2025 am 12:15 AM

PHP沒有死。 1)PHP社區積極解決性能和安全問題，PHP7.x提升了性能。 2)PHP適合現代Web開發，廣泛用於大型網站。 3)PHP易學且服務器表現出色，但類型系統不如靜態語言嚴格。 4)PHP在內容管理和電商領域仍重要，生態系統不斷進化。 5)通過OPcache和APC等優化性能，使用OOP和設計模式提升代碼質量。

PHP與Python辯論：哪個更好？Apr 16, 2025 am 12:03 AM

PHP和Python各有優劣，選擇取決於項目需求。 1)PHP適合Web開發，易學，社區資源豐富，但語法不夠現代，性能和安全性需注意。 2)Python適用於數據科學和機器學習，語法簡潔，易學，但執行速度和內存管理有瓶頸。

PHP的目的：構建動態網站Apr 15, 2025 am 12:18 AM

PHP用於構建動態網站，其核心功能包括：1.生成動態內容，通過與數據庫對接實時生成網頁；2.處理用戶交互和表單提交，驗證輸入並響應操作；3.管理會話和用戶認證，提供個性化體驗；4.優化性能和遵循最佳實踐，提升網站效率和安全性。

PHP：處理數據庫和服務器端邏輯Apr 15, 2025 am 12:15 AM

PHP在數據庫操作和服務器端邏輯處理中使用MySQLi和PDO擴展進行數據庫交互，並通過會話管理等功能處理服務器端邏輯。 1）使用MySQLi或PDO連接數據庫，執行SQL查詢。 2）通過會話管理等功能處理HTTP請求和用戶狀態。 3）使用事務確保數據庫操作的原子性。 4）防止SQL注入，使用異常處理和關閉連接來調試。 5）通過索引和緩存優化性能，編寫可讀性高的代碼並進行錯誤處理。