php过滤危险html的代码

一切用户的提交都是不可信任的，对于提交的一些HTML，我们应该过滤掉一些危险的代码。

下面给大家提供一个函数。

function uh($str) {
    $farr = array("/s+/", //过滤多余的空白 
    "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 
    "/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU", //过滤javascript的on事件 http://yige.org/
    );
    $tarr = array(" ", "<\1\2\3>", //如果要直接清除不安全的标签，这里可以留空 
    "\1\2", );
    $str = preg_replace($farr, $tarr, $str);
    return $str;
}

相关文章

• PHP获取文件大小的方法 2014/04/13
• PHP生成唯一订单号的方法 2014/04/13
• PHP中header函数的常用方法 2014/04/13
• PHP用header强制下载时IE文件名中文乱码问题解决方法 2014/04/09
• PHP 5.4不对中文json编码的方法 2014/04/09
• PHP将数字金额替换为人民币中文大写的函数 2014/04/09
• PHP生成唯一标识ID的函数 2014/04/09
• PHP不定参数的函数 2014/04/09
• PHP执行定时任务的简单实现 2014/04/09
• PHP强制下载文件的实现 2014/04/09