問題タブ [htmlspecialchars]

基本的にサンプル コードとコメントを共有するための Web サイトを構築しようとしています。私の問題は、img と i b のようないくつかの非常に一般的なものを除くタグ/スクリプトを回避することです...さまざまな解決策を試しましたが、ある時点でそれらすべてがスタックします:

最初に タグを分割してコードを開始し、他の場所に split_tag し、コード部分に htmlspecialchars を追加してから、それらを再マージしました。ただし、ユーザーがテキスト部分のどこでも < を使用すると、> が表示されるまで投稿が消去されます。(また、< の後に空白を入れることで、strip_tags が消去されるのを回避しようとしましたが、それがタグであるか未満であるかを認識する方法を見つけることができませんでした)

次に、逆さまにしてみました。すべての投稿に htmlspecialchars を使用し、特定のものをタグの外観に戻します。今回は、一部の置換機能が正しく機能しないか、互いに重複しているため、すべての置換機能で問題が発生しました。簡単な解決策があるような気がしますが、正しい角度で見ることができませんでした。助言がありますか ？

$yazi = htmlspecialchars($_POST["yazi"]);
$yazi = str_replace('&lt;a href=&quot;', '<a href"', $yazi);
$yazi = str_replace('&lt;&#47a&gt;', '</a>', $yazi);
$yazi = str_replace('&lt;code&gt;','<code>', $yazi);
$yazi = str_replace('&lt;&#47codea&gt;', '</code>', $yazi);
$yazi = str_replace('&lt;br&gt;', '<br>', $yazi);
$yazi = str_replace('&lt;i&gt;', '<i>', $yazi);
$yazi = str_replace('&lt;&#47i&gt;', '</i>', $yazi);
$yazi = str_replace('&lt;b&gt;','<b>',$yazi);
$yazi = str_replace('&lt;&#47b&gt;','</b>',$yazi);
$yazi = str_replace('&lt;p&gt;','<p>',$yazi);
$yazi = str_replace('&lt;&#47p&gt;','</p>',$yazi);
$yazi = str_replace('&lt;img src=&quot;', '<img src="', $yazi);
$yazi = str_replace('&quot;/&gt;', '"/>', $yazi);
$yazi = str_replace('&quot; /&gt;', '" />', $yazi);
$yazi = str_replace('&quot;&gt;', '">', $yazi);
$yazi = str_replace('&quot; &gt;', '" >', $yazi);

これは私のコードです。「動作していません」と表示されます

変数を作成した場合:

これは何とか機能しますが、次のものから取得すると機能しません。

誰でも理由を知っていますか？

正規表現にこだわっています。たくさんのテキストがあります

&リストされたアイテムの一部ではないすべての-sを見つける正規表現が必要です。

® (HTML 番号 ®) などの多くの特殊記号と ã (HTML 番号 ã) などの HTML 名を含む XML があります。

Java を使用して、これらの HTML 記号と HTML 名を対応する HTML 番号に置き換えようとしています。このために、最初に XML ファイルを文字列に変換し、次に replaceAll メソッドを次のように使用しました。

しかし、これは機能していません。

どなたかやり方を教えてください。

ありがとう ！！！

Flex3プロジェクトでZendAMFリモーティングを使用しています。FlexアプリがPHPに送信するパラメーターがSQLインジェクションやその他のセキュリティ問題を引き起こさないようにするにはどうすればよいですか。

$ parameterArrayを安全にするにはどうすればよいですか？これは、文字列と数値の配列です。$ parameterArrayでmysql_real_escape_stringを使用するにはどうすればよいですか？また、htmlspecialcharsを使用する必要がありますか？この場合、どのように使用しますか？安全にするために他に何かする必要がありますか？

PHP：

Flex 3 をリモーティングで使用して、MySQL データベースからデータを返しています。サイトを安全に保つために、htmlspecialchars を使用する必要がありますか?

私が理解しているように、htmlspecialchars は、db から返されたデータを「サニタイズ」するために使用されます。例えば：

上記の場合、どのように使用しますか？

または私は書く：

または他の何か？

ユーザーがグローバル通知をシステムに投稿できるフォームがあります (他のユーザーが見ることができるように)。
システムは、DB から直接 HTML を出力します (ユーザーが通知を見たい場合)。
一部の html タグはそのままにして、残りのタグには htmlspecialchars() を適用したいと考えています。
もう応募してみた

戦略ですが、本当に遅いようです。実際、遅すぎます。また、常に機能することは安全ではありません。これに代わるものはありますか?
タグをストライピングする代わりに、許可されていないタグに htmlspecialchars を適用することを除いて、strip_tags() ジョブを実行するものが必要でした。

ADD(ed) info (by request):

$str は考えられる任意のサイズにすることができます。最悪のケースのシナリオの 1 つをテストするという理由で、大きな文字列 (1M 文字 (許可されたタグと許可されていないタグを含むランダムに生成された 1M 文字。すべてのタグには属性がありました) を使用することを考えました。ロジック: このように機能する場合は、サーバーは完全なstr_replace
(htmlspecialchars を使用) を処理するのに 5 秒かかりました. このテストは 2GHz CPU と DDR3 RAM を搭載した私のコンピューターで行われました.
$search と $replace の両方で合計 7 つの置換があります. それでもそれらは機能します. $search が誤検知または誤検知を与える場合もあります.
明確にするために、DB からの取得中ではなく、DB への保存中にこれらの変更を適用します。

データベースからの文字列を表示するデータグリッド（6列）があります。labelfunctionを使用して、文字列内のhtml特殊文字（＆apos、＆ampなど）をエスケープしようとしています。

私はこれをネットで見つけました：

ただし、これを行うと、次のエラーが発生します。nullオブジェクト参照のプロパティまたはメソッドにアクセスできません。

上記のコードを次のように変更すると、これは正常に機能します。

ここで、computer_nameは、このデータグリッド列のデータフィールドです。

データグリッドコードの投稿：

これは今のところうまく機能しています（2列にのみlabelfunctionを適用しました）。しかし、すべての列にlabel関数を適用したいと思います...

PHP htmlspecialchars は JS にとって安全ですか?

マルチバイト文字の場合はどうですか？

メールボックスから電子メールを読み取るスクリプトを作成しました。

一部の電子メールで、一部のデータが文字化けした文字に変換されており、それが私のさらなる処理を妨げています。

それらのキャラクターは次のようになりますhttp://brucejohnson.ca/HTMLCharacters13.html

それらを元のコンテンツに変換する方法。