我网站上的用户可以发布新闻项目。但现在,就 HTML 而言,这都是荣誉系统。
function postNewsItem($subject, $body, $userid){
$time = time();
$subject = mysql_real_escape_string($subject);
$body = mysql_real_escape_string($body);
$q = "INSERT INTO news (subject, body, userid) VALUES ('$subject', '$body', '$userid')";
$result = mysql_query($q, $this->connection);
return 1;
}
我希望用户能够链接到图像、构建表格、将他们的文字加粗等等,但我不希望他们能够链接到恶意脚本等等。我知道有一些方法可以从用户输入中转义 HTML,但是有没有办法在允许某些标签的情况下做到这一点?
最佳答案
使用 HTML PUrifier .它允许您基本上创建允许标签的白名单,并过滤掉任何其他内容。
关于PHP:允许用户发布带有特定标签的帖子,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1397221/