显示格式化的用户输入_PHP教程

这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险，给出一个安全的显示格式化输出的方法。
没有过滤输出的危险
如果你仅仅获得用户的输入然后显示它，你可能会破坏你的输出页面，如一些人能恶意地在他们提交的输入框中嵌入
Javascript脚本：
This is my comment.
alert('Do something bad here!')">.
这样，即使用户不是恶意的，也会破坏你的一些HTML的语句，如一个表格突然中断，或是页面显示不完整。

只显示无格式的文本
这是一个最简单的解决方案，你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数，将转化全部的字符为HTML的编码。
如将转变为，这可以保证不会有意想不到的HTML标记在不适当的时候输出。
这是一个好的解决方案，如果你的用户只关注没有格式的文本内容。但是，如果你给出一些可以格式化的能力，它将更好一些

Formatting with Custom Markup Tags
用户自己的标记作格式化
你可以提供特殊的标记给用户使用，例如，你可以允许使用...加重显示，...斜体显示，这样做简单的查找替换操作就可以了：
$output = str_replace("", "", $output);
$output = str_replace("", "", $output);
再作的好一点，我们可以允许用户键入一些链接。例如，用户将允许输入[link="url"]...[/link]，我们将转换为...语句
这时，我们不能使用一个简单的查找替换，应该使用正则表达式进行替换：
$output = ereg_replace('[link="([[:graph:]]+)"]', '', $output);
ereg_replace()的执行就是：
查找出现[link="..."]的字符串，使用 替换它
[[:graph:]]的含义是任何非空字符，有关正则表达式请看相关的文章。

在outputlib.php的format_output()函数提供这些标记的转换，总体上的原则是：
调用htmlspecialchars()将HTML标记转换成特殊编码，将不该显示的HTML标记过滤掉，
然后，将一系列我们自定义的标记转换相应的HTML标记。

function format_output($output) {
/****************************************************************************

http://www.bkjia.com/PHPjc/629327.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629327.htmlTechArticle这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险，给出一个安全的显示格式化输出的方法。 没有过...