3

いくつかの優れた PHP html (入力) サニタイザーは何ですか?

できれば、何かが組み込まれている場合は、それを希望します。

更新

要求に従って、コメントを介して、入力はHTML を許可しないでください(そして明らかに XSS と SQL インジェクションなどを防ぎます)。

4

4 に答える 4

2

html purifier -> http://htmlpurifier.org/

于 2010-04-30T14:20:46.047 に答える
0

私は常にPHPのaddslashes()およびstripslashes()関数を使用してきましたが、組み込みのfilter_var()関数(リンク)も見ました。かなりの数の組み込みフィルターがあるようです。

于 2010-04-30T14:21:36.247 に答える
0

を使用するクエリを実行したい場合、mysql_real_escape_string()$_GET['user']を使用して次のようなことを行うのが良い解決策だとしましょう:

<?php

    $user = mysql_real_escape_string($_GET['user']);
    $SQL = "SELECT * FROM users WHERE username = '$name'";

    //run $SQL now
    ...
?>

テキストをデータベースに保存してから Web ページに印刷する場合は、htmlentitiesの使用を検討してください。

[編集]または awshepard が言ったように、addslashes()およびstripslashes()関数を使用できます[/編集]

XSS 攻撃を防ぐためのサニタイズの例を次に示します。

<?php
    $str = "A 'quote' is <b>bold</b>";

    //Outputs: A 'quote' is <b>bold</b>
    echo $str;

    // Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
    echo htmlentities($str);

    // Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
    echo htmlentities($str, ENT_QUOTES);
?>
于 2010-04-30T14:31:11.467 に答える
0

使用する

 $input_var=sanitize_input($_POST);

機能は以下にあり、必要なものはほとんどサニタイズされます

function sanitize($var, $santype = 1){
     if ($santype == 1) {return strip_tags($var);}
     if ($santype == 2) {return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');}
     if ($santype == 3) 
     {
      if (!get_magic_quotes_gpc()) {
       return addslashes(htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8'));
      } 
      else {
         return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');
      }
     }
    }

    function sanitize_input($input,$escape_mysql=false,$sanitize_html=true,
             $sanitize_special_chars=true,$allowable_tags='<br><b><strong><p>')
    {
      unset($input['submit']); //we use 'submit' variable for all of our form

      $input_array = $input;

      //array is not referenced when passed into foreach
      //this is why we create another exact array
      foreach ($input as $key=>$value)
      {
       if(!empty($value))
       {
        $input_array[$key]=strtolower($input_array[$key]);
        //stripslashes added by magic quotes
        if(get_magic_quotes_gpc()){$input_array[$key]=sanitize($input_array[$key]);} 

        if($sanitize_html){$input_array[$key] = strip_tags($input_array[$key],$allowable_tags);}

        if($sanitize_special_chars){$input_array[$key] = htmlspecialchars($input_array[$key]);}    

        if($escape_mysql){$input_array[$key] = mysql_real_escape_string($input_array[$key]);}
       }
      }

      return $input_array;

    }

覚えておいてください:多次元配列はサニタイズされません。再帰的に変更する必要があります。

于 2010-04-30T14:48:24.447 に答える