Очередной веб лог…

Часто ли Вам, как web-разработчику, приходилось переживать за то, как вывести контент, оставленный пользователем, на страницу?
Думаю многие уже вооружались strip_tags() и htmlspecialchars(), но сегодня я пошел немного дальше. Теперь нет необходимости забирать возможность выводить любые теги, теперь можно просто указать какие теги допустимы к выводу, а так же какие атрибуты они могут содержать, ведь ни для кого не секрет, что onclick или onmouseover в безобидном теге DIV может творить чудеса
Под катом ссылка на скачивание и пример использования.

Скачать OutputFilter.php

Пример использования:

$allowed_tags = "a, b, i, u, em, strong, img, embed, br, param, div, span, object, ul, li, ol, table, tr, td";
$allowed_attrs = "src, name, value, width, height, href, type";

$filter = new OutputFilter();
$filtered_str = $filter
    ->setAllowedTags( $allowed_tags )
    ->setAllowedAttrs( $allowed_attrs )
    ->process( $dangerous_string_with_html ); // передаем "опасную" строку

echo $filtered_str; // за эту строку можно не бояться

теперь можно не бояться что в результирующей строке будет что-то кроме нужных нам тегов с “правильными” аттрибутами (да, ролики с ютюба и пр. флеш контент останется при таком наборе правил)

Для любителей “ретро” еще один класс для фильтрации вывода: InputFilter.php. Мне он не подошел по причине неправильной обработки аттрибутов и отсутствия нативной поддержки UTF8 строк (пришлось делать замену обычных функций обработки строк на их mb_* аналоги)

P.S. ВНИМАНИЕ! Для корректного использования необходима библиотека Tidy

Tags: filter, output, PHP, решение

Также рекомендую к прочтению:

• decbin() в PHP
• Сделаем PHP строго типизированым
• Перечисления в PHP

This entry was posted on Среда, Сентябрь 3rd, 2008 at 15:40 and is filed under Работа. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.