php - 最初の文字を大文字にして、html コードを取り除く

Question

私は次の html ページを持っています: 私がしようとしているのは、最初の文字を大文字にし (問題なく動作しています)、HTML コードまたは "<" "/>" " の組み合わせを持つコードのテキスト ボックスを削除することです。 >" そのため、ユーザーが悪意のあるコードを挿入してサーバー側で実行することはできません。

ストリップするコードを見つけました：

var StrippedString = OriginalString.replace(/(<([^>]+)>)/ig,"");

上記のコードを下のページに追加して、両方を処理するにはどうすればよいですか?

<?php
/**
 * ****************************************************************************
 * Micro Protector
 * 
 * Version: 1.0
 * Release date: 2007-09-10
 * 
 * USAGE:
 *   Define your requested password below and inset the following code
 *   at the beginning of your page:
 *   <?php require_once("microProtector.php"); ?>
 * 
 *  
 * 
 ******************************************************************************/


$Password = 'TESTPASS'; // Set your password here



/******************************************************************************/
   if (isset($_POST['submit_pwd'])){
      $pass = isset($_POST['passwd']) ? $_POST['passwd'] : '';

      if ($pass != $Password) {
         showForm("Wrong password");
         exit();     
      }
   } else {
      showForm();
      exit();
   }

function showForm($error="LOGIN"){
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "DTD/xhtml1-transitional.dtd">
<html>
<head>
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<META HTTP-EQUIV="CACHE-CONTROL" CONTENT="NO-CACHE">
   <title>IMC - Authentication</title>
   <link href="style/style.css" rel="stylesheet" type="text/css" />
<Script>
<!--
function capitalize(form) {
    value = form.value;
    newValue = '';
    value = value.split(' ');
    for(var i = 0; i < value.length; i++) {
        newValue += value[i].substring(0,1).toUpperCase() +
        value[i].substring(1,value[i].length) + '';
    }
form.value = newValue;
}
-->
</Script>
</head>
<body>
<center><a href="http://www.test.com"><img src="test.png" border=0 /></a></center>
<br><br><br>
    <div id="main">
      <div class="caption"><?php echo $error; ?></div>
      <div id="icon">&nbsp;</div>
      <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" name="pwd">
    Your Name:
        <table>
          <tr><td><input class="text" name="name" onBlur="capitalize(this);" maxlength=12 type="text" /></td></tr>
        </table> 
        Password:
        <table>
          <tr><td><input class="text" name="passwd" maxlength=8 type="password" /></td></tr>
          <tr><td align="center"><br/>
             <input class="text" type="submit" name="submit_pwd" value="Login" />
          </td></tr>
        </table>  
      </form>
   </div>
</body>
</html>

<?php   
}
?>

Answer 1

newValue = newValue.replace(/(<([^>]+)>)/ig,"");前に追加form.value = newValue;

Answer 2

悪意のあるユーザーが機能を完全にバイパスできることを理解していただければ幸いです。私がしなければならないことはcapitalize=function(){}、自分のコンソールに置くだけで、突然、自分が書きたいものを書くことができます... または、JavaScript を無効にすることもできます。どちらの方法でも、好きなものをあなたのサーバーに送信できます。

サーバー側では、PHP のような関数を使用して、HTML がユーザーのブラウザーに挿入されるのを防ぐ必要があります。その際、最初の文字 (またはすべての単語の最初の文字)を大文字にするためにhtmlspecialchars使用できます。ucfirstucwords