标题可能不是很清楚,但我会在这里清楚地解释我的问题。
我正在为我的研究所设计一个网站,其中我必须提供一个编辑器,用户可以在其中创建 html 页面并将它们保存到特定文件夹(用户不知道确切的文件夹,它是在注册时使用 php 创建的)。我决定使用 ck-editor 来进行编辑。为了保存数据,我使用 ajax 向 php 脚本发送一个 post 请求,该脚本仅使用
file_put_contents("folder/file_name.html",$_POST['data'])
要显示页面,view_page.php 接受文件名作为 get 变量,然后包含 html 文件,例如
网址:
view_post.php?file_path=user/good.html
PHP 代码:
<?php
try{
@include_once("ed423eba62af16d6ab38cbfd2295b304/".$_GET['file_name']);
}
catch(Exception $e){
echo "Can't find the requested file.";
}
?>
现在我面临的问题是,如果用户提交包含某些脚本标记的数据,我必须确保脚本标记不会被保存或在页面加载时不会运行。我怎样才能做到这一点?
最佳答案
您可以尝试strip_tags()
- http://www.php.net/strip_tags或 HTML 净化器 - http://htmlpurifier.org/
我建议使用 HTML Purifier。
关于javascript - 使用 javascript 或 php 删除脚本标签,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21623692/