替换为HTML实体 HTMLPurifier库

最新推荐文章于 2024-09-11 00:04:15 发布

gxl_ct001

最新推荐文章于 2024-09-11 00:04:15 发布

阅读量67

点赞数

文章标签： php

本文链接：https://blog.csdn.net/gxl_ct001/article/details/100665187

版权

防御XSS攻击,最简单粗暴的做法就是用htmlspecialchars把特殊字符(&,",',<,>)替换为HTML实体(&"'<>)后输出.防御XSS攻击,最复杂的做法就是自己写正则过滤,不过还好有HTMLPurifier库,除了能过滤XSS代码,还能把不完整的标签补全或者去掉.

<?php
# http://htmlpurifier.org/download
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);

2015年10月19日回答
评论

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

gxl_ct001

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

htmlpurifier-master标准的HTML过滤器的库.zip

07-11

这是我目前用过最好的PHP富文本HTML过滤器了，采用了白名单机制，有效杜绝了用户提交表单中的非法HTML标签，从而可以防止XSS攻击

php htmlpurifier,htmlpurifierPHP过滤库

weixin_39832628的博客

03-11

168

htmlpurifierPHP过滤库require_once '/path/to/HTMLPurifier.auto.php';根据ThinkPHP的规范，对于第三方扩展，不符合ThinkPHP开发规范的，需要将HTMLPurifier放入到Library/Vendor目录中。然后我们可以在方法中通过下面方法将HTMLPurifier.auto.php引入到框架程序中：vendor('htmlpu...

参与评论您还未登录，请先登录后发表或查看评论

HTML Purifier --非常好用的XSS过滤器

u010128133的博客

06-27

6030

# HTML Purifier # >前言：最近因公司项目需要做 HTML 标签过滤，同事推荐了 HTML Purifier 。 >使用过程中虽然因为英文太差（英文文档，网上相关博客比较少）的原因浪费了很多时间，但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录，也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur

使用htmlPurifier 过滤输入能不能不要把&转义成&

weixin_34034670的博客

06-06

267

使用htmlPurifier 过滤输入能不能不要把&转义成&今天运营同学说后台标题出现一些乱码形如 &等。看了一下是因为项目中使用了htmlpurifier这个第三方包，初步猜测是这个包做了一些转义………网上搜索了一下也没发现，只在其官方论坛中找到有人讨论这个问题：https://stackoverflow.com/questions/40463606/html-purif...

php html标签替换_用PHP中的htmlspecialchars()替换除某些html标签外的所有HTML标签？...

weixin_35620685的博客

03-09

202

我想处理我的用户输入,以仅允许某些html标记,并用其html实体替换其他标记,以及替换非标记字符.例如,如果我只想允许< b>和< a>标签,然后allow_only("This is bold and this is italic.Moreover 2<3 and this is a link.","");应该产生This is bold and this is ...

php 最外html标签,php - 用PHP中的htmlspecialchars（）替换除某些html标签外的所有HTML标签？ - 堆栈内存溢出...

weixin_32801929的博客

06-16

应用htmlspecialchars，然后将给定标签数组的编码实体替换为常规实体function allow_only($str, $allowed){$str = htmlspecialchars($str);foreach( $allowed as $a ){$str = str_replace("<".$a.">", "", $str);$str = str_replace("&...

HTML和JS相关问题记录

u012830303的博客

08-31

243

1、背景图片路径问题使用编辑器上传文件，存入数据库的路径很多时候像这样: 20180820\6cbb383c55a6078fdf4f2be34fcbf61b.png 在h5的img中直接使用这些路径，没有问题。但是当作为背景图片时，反斜杠\就会导致图片不能显示。 style="background-image:url('/uploads/img/20180820\111.png'});...

php类库

王兆镇的博客

07-30

3783

依赖管理( Dependency Management ) 用于依赖管理的包和框架 Composer / Packagist - 一个包和依赖管理器. Composer Installers - 一个多框架Composer库安装器 pickle - PHP扩展安装器 Melody - A tool to build one file Composer scripts. 依赖注入( Dependency Injection ) 实现依赖注入设计模式的库 Pimple - 一个小的依赖注入容器 containe

thinkphp等框架开发中容易忽略的xss攻击及应对XSS攻击方法

小刚刚技术博客

08-17

2338

虽然说现在的web开发框架都是挺成熟的框架，在性能、安全等方面都有比较好的表现，但问题往往出现在业务逻辑上，如上周我再公司发现的一个跨站脚本攻击，（通常公司是这么过滤的，max(0,$_GET[‘a’])、strip_tags($_GET[‘a’])，然而代码量大的话，就容易出现忽略的地方）如下面一段代码： JavaScript <script> (function(){ var a = {:$_GET['b']}; //.... })() </script> 如果把接收

XSS 漏洞

Just a Blog

05-01

1699

XSS 漏洞

开源计算机视觉库OpenCV详解

热门推荐

dvlinker的技术专栏

06-23

8万+

详细介绍开源计算机视觉库OpenCV。

数仓工具—Hive语法之替换函数和示例

07-16

3万+

rlike regexp 是一样的，都是正则匹配REGEXP_REPLACE 是正则替换REGEXP_REPLACE 是正则提取Translate 是字符替换like 是字符匹配，有自己的语法。

nginx html 替换,Nginx 服务内容替换功能（sub模块）

weixin_42576410的博客

06-26

3287

Nginx 服务提供修改返回客户端内容的功能；也就是，当Nginx服务返回给浏览器内容时，可以修改返回的内容。一、with-http_sub_module模块1.1、sub_filter string replacement;Default: —Context: http, server, location允许使用一些其他的文本替换nginx应答内容中的一些文本。匹配不区分大小写，替换的文本可以包...

使用 gulp-html-replace 前端自动化配置替换html模板中指定内容

小青蛙的博客

05-31

5301

导读在某些开发项目中，我们需要用到动态输出index.html文件，而这个页面文件内的资源也是需要动态加载的，就比如说在线面这些开发条件：一些静态资源需要加版本号动态编译sass，把编译后的内容动态植入html的style标签中，或者自动引用编译好的css文件在index.html文件中，动态插入多个js文件的script脚本内容如果你想往页面中动态插入一些你需要的一些内容，那gulp...

notepad ++ 将制表符（tab）替换为空格

大数据同盟会的博客

11-09

4561

notepad ++ 将制表符（tab）替换为空格

一码空传临时网盘PHP源码，支持提取码功能