php - 验证粘贴在字段中的脚本

Question

我想向我的网站添加一个文本区域字段，用户可以将整个脚本粘贴到其中并保存。

我担心的是用户试图将其他代码注入(inject)该字段。

这就是脚本的样子...ID 和十六进制会改变，但没有其他变化:

<script type="text/javascript">
            var advertvars_vars = {
             pubid: '00000000000', // publisher id
             bgcolor: '804296', // background color (hex)
             text: 'FFFFFF', // font-color (hex)
             test: true 
            };
</script>
<script type="text/javascript" src="http://mysite.com/static/ad.js"></script>

我的问题是...是否有办法验证用户是否粘贴了上述有效代码？

Answer 1

这就是自找麻烦。无论您验证得多么彻底，总会有人想出一种方法在文本框中注入(inject)邪恶的东西。永远、永远、eval() 或以其他方式直接运行来自用户输入的内容。只需添加一个表单，用户可以在其中输入 pubid、color 等值，验证它们，然后自己组装 javascript block 。