&引用;“安全”;PHP的降价处理器?
是否有适合在公共评论中使用的PHP标记实现 基本上,它应该只允许标记语法的一个子集(粗体、斜体、链接、块引号、代码块和列表),并去掉所有内联HTML(或者可能转义它?) 我想一种选择是使用普通的标记解析器,并通过HTML消除器运行输出,但是有没有更好的方法来做到这一点呢 我们正在为站点的其余部分使用PHP markdown Extra,因此我们已经必须使用辅助解析器(非“Extra”版本,因为脚注支持之类的东西是不必要的)。。仅解析&引用;“安全”;PHP的降价处理器?,php,security,user-input,markdown,Php,Security,User Input,Markdown,是否有适合在公共评论中使用的PHP标记实现 基本上,它应该只允许标记语法的一个子集(粗体、斜体、链接、块引号、代码块和列表),并去掉所有内联HTML(或者可能转义它?) 我想一种选择是使用普通的标记解析器,并通过HTML消除器运行输出,但是有没有更好的方法来做到这一点呢 我们正在为站点的其余部分使用PHP markdown Extra,因此我们已经必须使用辅助解析器(非“Extra”版本,因为脚注支持之类的东西是不必要的)。。仅解析*bold*文本并将所有内容转义到a href=“etc”,似乎
*bold*a href=“etc”boldshodown.js- PHP中是否有“安全”的降价实现
- 是否有HTML/javascript标记编辑器可以轻松禁用相同的选项
markdown()通过这种方式,标记呈现与输出清除分离,输出清除更简单(两个基本上未修改的代码基),更安全(您不需要同时进行呈现和清除),并且更灵活(您可以有多个净化级别,比如对受信任的内容进行更宽松的配置,对公开评论使用更严格的版本)JavaScript标记编辑器假设:
- 使用JavaScript驱动的降价编辑器,例如,基于决战
- 从工具栏中删除不需要的项目的所有图标和视觉线索
- 设置JavaScript过滤器以在提交时清除不需要的标记
- 在计算机上本地测试并强化所有JavaScript更改和过滤器
- 在PHP提交脚本中镜像这些过滤器,以便在服务器端捕获相同的过滤器
- 从帮助/教程中删除对不需要的项目的所有引用
我已经用JavaScript创建了一个标记编辑器,但它有增强的功能。这花费了大量的时间和SVN修订。但我认为修改标记编辑器以限制允许的HTML不会有那么困难。PHP标记有一个消毒剂选项,但似乎没有在任何地方发布。请看
Markdown.php# Change to `true` to disallow markup or entities.
var $no_markup = false;
var $no_entities = false;
truefunction do_markdown($text, $safe=false) {
$parser = new Markdown_Parser;
if ($safe) {
$parser->no_markup = true;
$parser->no_entities = true;
}
return $parser->transform($text);
}
请注意,上面的函数在每次运行时都会创建一个新的解析器,而不是像提供的
Markdown我试图考虑这样一种情况,即这种方法不起作用,但无法立即想到任何东西。不接受答案,因为
无标记样式=do\u markdown[link](javascript:alert('xss')进行保护>脚本[clickme](javascript:alert%28%22xss%22%29)