用PHP中的htmlspecialchars（）替换除了某些html标签以外的所有标签？

I would like to process my user input to allow only certain html tags, and replace the other ones by their html entities, as well as replace non-tag-characters. For example, if I only wanted to allow the  and the <a> tag, then

allow_only("This is <b>bold</b> and this is <i>italic</i>.
            Moreover 2<3 and <a href='google.com'>this is a link</a>.","<b><a>");

should produce

This is <b>bold</b> and this is &lt;i&gt;italic&lt;/i&gt;.
Moreover 2&lt;3 and <a href='google.com'>this is a link</a>.

How can I do this in PHP? I am aware of strip_tags() that can remove the unwanted tags completely, and I'm aware of htmlspecialchars() which can replace all tags by their html entities, but none where only specific tags get replaced. How can this be done in PHP?

And if there is no 'common' way to do this, how should I in general go on processing user input that can have valid regular html, but can also have < signs and potentially dangerous html code?

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongxunhua2054 2014-08-09 13:57
关注
Apply htmlspecialchars and then replace encoded entities with regular entities for a given array of tags

function allow_only($str, $allowed){ $str = htmlspecialchars($str); foreach( $allowed as $a ){ $str = str_replace("<".$a.">", "<".$a.">", $str); $str = str_replace("</".$a.">", "</".$a.">", $str); } return $str; } echo allow_only("This is bold and this is italic.", array("b"));

That works for simple tags, returning "This is bold and this is italic."

As it was pointed out, that doesn't work for tags with attributes, but this does:

function fix_attributes($match){ return "<".$match[1].str_replace('"','"',$match[2]).">"; } function allow_only($str, $allowed){ $str = htmlspecialchars($str); foreach( $allowed as $a ){ $str = preg_replace_callback("/<(".$a."){1}([\s\/\.\w=&;:#]*?)>/", fix_attributes, $str); $str = str_replace("</".$a.">", "</".$a.">", $str); } return $str; } echo allow_only('This is bold and <a href="http://www.#links">this</a> is italic.', array("b","a"));

that handles more complex tags with certain attributes, only the characters listed between [] are allowed to appear in attributes by this. Unfortunately " must be allowed within attributes or it won't work, and with it all other entities are allowed too - however only &quot in attributes will be decoded.

As it was suggested a much better (safer, cleaner) way to solve problems like this to use a library like http://htmlpurifier.org/demo.php
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报
编辑

预览
轻敲空格完成输入
显示为

卡片

标题

链接
评论

按下Enter换行，Ctrl+Enter发表内容

编辑

预览

报告相同问题？

关注问题

如何使用htmlspecialchars（）但在PHP中保持<a>标签和其他标签？ php xss
2018-01-14 08:23

回答 1 已采纳 Problem: use callback function without quotes for more info see http://php.net/manual/en/functio
如何使用PHP从HTML文档中仅提取某些标签？ php
2012-03-27 12:10

回答 3 已采纳 Check out Simple HTML Dom. It will grab external pages and process them with fairly accurate detai
使用php显示包含来自数据库的html标签的内容 html php sql
2018-04-17 08:00

回答 1 已采纳 Please replace you echo syntaxt <?php echo htmlspecialchars($row['content'], ENT_QUOTES); ?&gt
php所有标签转换为p标签,PHP 转HTML标签为实体，把实体html标签转为<>，过滤html标签...
2021-04-20 00:13

Max Snow的博客下面我我在开发中遇到的，HTML标签互转的，记录下来与君共享实例：$str = preg_replace("//",'',htmlspecialchars_decode($recSigleData['content']));htmlspecialchars_decode()这个函数的作用的是实体的HTML标签...
如何使用PHP替换不同的html代码？ html php
2016-07-22 04:27

回答 3 已采纳 Don't use " double quotes for php variable string otherwise it will give warnings for variable. Fo
如何在输入（onchange）中将文本写入php / html中的数组？ html php
2019-02-21 01:24

回答 2 已采纳 A few thoughts, Hans. (1) PHP is not able to interact with a user (i.e. detect DOM events like bu
Node.js等效于php中的htmlspecialchars mysql node.js php
2018-10-24 02:14

回答 1 已采纳 First of all, if you set your encoding correctly (on the html page and in the database or convert
php htmlspecialchars xss,PHP htmlspecialchars不能防御前端innerHTML产生的XSS注入
2021-03-25 03:08

一围篱笆闲的博客不要在JS里直接用innerHTML输出未经JS过滤的用户内容,即使这些内容已经经过服务器端PHP的htmlspecialchars或者HTMLPurifier过滤.比如下面的代码,页面将alert弹出字符串/xss/,因为JS会把变量中的Unicode字符\u003c和\...
php将变量传递给标签 html php
2018-08-09 06:57

回答 1 已采纳 There are a couple problems with your code: The string needs to be declared with quotes around i
你可以在嵌入在php中的html中嵌入php指令吗？ html php
2015-03-10 17:43

回答 2 已采纳 It cannot work because you can't concatenate a string like that it throws php parse error. I have
如何使用PHP替换String中的非SGML字符？ html php
2012-03-16 04:08

回答 2 已采纳 In both ISO-8859-1 and ISO-8859-15 the character number 146 is a control character MW (Message Wai
php 去掉标签,php如何去掉标签
2021-04-24 08:20

多肉植物K的博客 php去掉标签的方法：1、使用strip_tags函数去掉HTML及PHP的标记；2、使用htmlspecialchars函数将特殊字元转成HTML格式。本教程操作环境：windows10系统、php5.6，本文适用于所有品牌的电脑。1、strip_tags功能：去掉...
php前端代码混淆,HTML代码混淆PHP版
2021-04-22 01:01

半杯木的博客 //要存的html源码内容，支持换行，注意把单引号用\转移$testStr = 'row 1, cell 1row 1, cell 2row 2, cell 1row 2, cell 2';function randomStr($intLength){$str = null;$strPol = "abcdefghijklmnopqrstuvwxyz";$...
PHP将富文本数据转换成文本、富文本清除标签
2021-03-03 05:34

临沂码农王老七的博客有些数据为富文本数据，包含一些标签，使用下面的方法很简单就可以获得纯文本内容。 /* * 函数说明：富文本数据进行转换成文本 * @access public * @param $content string 富文本数据 * @return string 不包含...
【前端开发必知】HTML特殊字符转义及编码
2023-08-25 02:51

秋说的博客在 HTML 中，有一些特殊字符不可直接使用，需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时，也是为了防范前端XSS。例如，有些特殊字符（如和 >）作为HTML标签的一部分...
PHP AJAX RSS 阅读器
2024-06-13 06:51

它可以嵌入HTML中，也可以独立编写并编译成模块。在本项目中，PHP 主要负责从RSS源获取XML数据并将其解析成可读格式。 - **AJAX (Asynchronous JavaScript and XML):** AJAX 技术允许网页应用在不重新加载整个页面...
Web开发技能树-HTML-编码
2022-11-21 01:17

深度安全实验室的博客 HTML 字符编码
基于PHP的文本留言本.zip
2023-08-28 15:48

【标签】"PHP"表明这个项目的核心技术是PHP（Hypertext Preprocessor），一种广泛应用的开源服务器端脚本语言，特别适合Web开发，能够嵌入到HTML中执行。PHP支持多种数据库，如MySQL，使得它成为构建动态网站和应用...
基于PHP的简体、繁体、火星文在线转换v1.0源码.zip
2023-10-14 13:48

PHP是一种广泛使用的开源脚本语言，尤其适合于Web开发，可以嵌入到HTML中使用，用于处理服务器端逻辑，创建动态网页或Web应用。【压缩包子文件的文件名称列表】：132699456814309829。这个文件名看起来并不符合...
php替换富文本框返回图片路径
2022-02-28 01:57

璞~的博客方法二：str_replace（）函数 $con=htmlspecialchars_decode($article['content']); $con=str_replace('src="default/','src="/upload/default/',$con); echo $con; 方法三：preg_match_all（）函数返回图片路径 $...
没有解决我的问题, 去提问

用PHP中的htmlspecialchars（）替换除了某些html标签以外的所有标签？

1条回答 默认 最新

1条回答默认最新