PHP過濾提交表單的html代碼裡可能有被利用引入外部危險內容的代碼。例如,有些時候用戶提交表單中含有html內容,但這可能造成顯示頁面布局混亂,需要過濾掉。
方法一:
復制代碼 代碼如下:
//get post data
function PostGet($str,$post=0)
{
empty($str)?die('para is null'.$str.'!'):'';
if( $post )
{
if( get_magic_quotes_gpc() )
{
return htmlspecialchars(isset($_POST[$str])?$_POST
[$str]:'');
}
else
{
return addslashes(htmlspecialchars(isset($_POST[$str])?
$_POST[$str]:''));
}
}
else
{
if( get_magic_quotes_gpc() )
{
return htmlspecialchars(isset($_GET[$str])?$_GET[$str]:'');
}
else
{
return addslashes(htmlspecialchars(isset($_GET[$str])?
$_GET[$str]:''));
}
}
}
方法二:
復制代碼 代碼如下:
function uhtml($str)
{
$farr = array(
"/\s+/", //過濾多余空白
//過濾 <script>等可能引入惡意內容或惡意改變顯示布局的代碼,如果不需要插入flash等,還可以加入<object>的過濾
"/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",//過濾javascript的on事件
);
$tarr = array(
" ",
"<\1\2\3>",//如果要直接清除不安全的標簽,這裡可以留空
"\1\2",
);
$str = preg_replace( $farr,$tarr,$str);
return $str;
}
很實用的方法吧,希望對大家能有所幫助
你沒開啟魔法函數, 你可以自己使用函數自動轉義就可以了.
使用:addslashes 這個函數來轉義一下客戶端的數據,例如:
$post = addslashes($_POST['value']);
這個時候顯示的就是轉義後的文子了!
你的HTML代碼有錯。
。。。你不用<form>把整個表格括起來,就括一個按鈕,你這樣是無法取到值的。
修改過的HTML代碼:
<form method="post" action="tijiao.php">
<table class="f14" border="0" cellSpacing="3" id="table7">
<tr>
<td height="5"></td>
</tr>
<tr vAlign="top">
<td width="75" align="right"><font size="2">您的留言:</font></td>
<td width="325">
<textarea style="WIDTH: 325px; FONT-SIZE: 14px" wrap="virtual" rows="7" cols="45" name="liuyan"></textarea></td>
</tr>
<tr>
<td height="5"></td>
</tr>
<tr>
<td width="75" align="right">
<p align="center"><font size="2">聯系方法:<br>
QQ或email</font></p>
<td width="325"><input style="WIDTH: 325px; FONT-SIZE: 14px" size="45" name="email" /></td>
</tr>
<tr>
<td height="6"></td>
</tr>
<tr>
<td> </td>
<td align="left">
<input type="submit" value="提交&q......余下全文>>
