PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程

学习笔记 转载 2017-04-09 09:46:55 176 3

【摘要】HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!HTMLPurifier项目地址:http://htmlpurifier.org

一、如何在程序中调用HTMLPurifier

1、一般性调用

根据官方的文档中,我们可以要在PHP程序中调用HTMLPurifier,需要先将HTMLPurifier.auto.php引入到程序文件中,具体方法如下:

require_once '/path/to/HTMLPurifier.auto.php';

2、将HTMLPurifier整合到ThinkPHP中

根据ThinkPHP的规范,对于第三方扩展,不符合ThinkPHP开发规范的,需要将HTMLPurifier放入到Library/Vendor目录中。然后我们可以在方法中通过下面方法将HTMLPurifier.auto.php引入到框架程序中:

vendor('htmlpurifier.library.HTMLPurifier#auto');

不过这里我使用的ThinkPHP 3.2.1,发现这种方法只能使用在函数中,对于控制器类中这样引入是无法正确识别的。也就是说,我们只能在common/function.php文件中引用。

二、创建HTMLPurifier对象并实现对富文本的过滤

官方文档已经给出了基本的创建方法,即使说先需要一个配置类Config,然后使用配置类对象来生成Purifier对象。然后调用purifier方法对需要过滤的文本进行过滤。代码如下:

$config = HTMLPurifier_Config::createDefault();

$purifier = new HTMLPurifier($config);

$clean_html = $purifier->purify($dirty_html);

三、如何对HTMLPurifer的过滤器进行配置

要使用HTMLPurifier,重点还是在如何进行配置。对于上面的程序,我们通过createDefault()方法创建了一个默认的配置对象。我们如果要修改配置的话,可以通过set方法来进行配置设置,方法如下:

$config->set('config_object', value, a=null);

第一个参数就是需要配置的属性,第二个参数就是属性的值,第三个参数具体是做什么用的我也还没有搞明白,不过一般都没有用过,等有时间了再慢慢儿来研究研究。

HTMLPurifier的配置属性可以通过其网站查询到:http://htmlpurifier.org/live/configdoc/plain.html

1、配置属性选择

HTMLPurifier的配置文档主要是两级分类,大类分Attr(属性)、HTML(html标签)、AutoFormat(自动格式)、CSS(css配置)、Output(输出配置)……小类选择通过大类名称加.加小类名称可以完成。

比如我要配置允许的html标签,比如说p标签和a标签,可以如下配置

$config->set('HTML.Allowed', 'p,a');

2、属性值的选择

在官方文档中,点击一个属性后,可以看到对这个属性的解释,会告诉你这个属性的值的类型(Type)是String、Int、Array、Boolen……

接着还会告诉你这个属性的默认值,比如是NULL还是true还是false等。这个值的格式就跟PHP的格式一样的。

3、白名单过滤机制

HTMLPurifier使用了白名单过滤机制,只有被设置允许的才会通过检验。

4、基本过滤事例

a、过滤掉文本中的所有html标签

/**

* 过滤掉所有html标签很简单,原因则在白名单机制完成

*/

$config->set('HTML.Allowed', '');

b、保留超链接标签a及其href链接地址属性,并自动添加target属性值为’_blank’

$config->set('HTML.Allowed', 'a[href]');

$config->set('HTML.TargetBlank', true);

c、自动完成段落代码并清除掉无用的空标签

// 让文本自动添加段落标签,前提是必须允许P标签的使用

$config->set('HTML.Allowed', 'p');

$config->set('AutoFormat.AutoParagraph', true);

// 清除空标签

$config->set('AutoFormat.RemoveEmpty', true);

……

当然了,HTMLPurifier的过滤功能非常强大的,每一个点都要写到那也不现实,这里主要还是要说明如何写配置,只有配置好了才知道如何去拓展!

版权归 马富天个人博客 所有

本文标题:《PHP下最好用的富文本HTML过滤器:HTMLPurifier使用教程》

本文链接地址:http://www.mafutian.com/254.html

转载请务必注明出处,小生将不胜感激,谢谢! 喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

1

0

上一篇《 MySQL 错误提示消息中 Error 显示为 Erreur 》 下一篇《 windows 7 下使用 bitlocker 对 u盘、移动硬盘加密 》

所有评论

  1. 首页
  2. 上一页
  3. 1
  4. 下一页
  5. 尾页
  6. 第1页
  7. 每页12条
  8. 共1页
  9. 共3条
评论审核未开启
表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情 表情
验证码

随机阅读换一批

文章分类

TOP10

  • 浏览最多
  • 评论最多

1. 安全扫描工具 AWVS 8.0,AWVS 9.x,AWVS 10.5,AWVS 11 破解版下载(7443)

2. 微信分享第三方网站链接时显示缩略图和描述的方法(6467)

3. 四大常用知名的uci数据集简介(3014)

4. 该网页无法正常运作,ERR_BLOCKED_BY_XSS_AUDITOR,关闭 Google 浏览器的 xss 过滤机制的方法(2299)

5. PHP 处理图片时报错:Warning: imagecreatefromjpeg(): gd-jpeg: JPEG library reports unrecoverable error(1885)

6. Eclipse中...No java virtual machine was found...解决方法(1880)

7. 使用 ctrl c 中断 python 程序时如何做到优雅的退出(1839)

8. 【宅男福利】如何通过番号看电影(1723)

9. Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005' 解决办法(1712)

10. sublime text 3 关闭弹出的更新版本提示 Update Available / a new version of Sublime Text is available, download now?(1624)

1. PHP快速入门(20)

2. 微信分享第三方网站链接时显示缩略图和描述的方法(9)

3. JavaScript中alert()方法重写(6)

4. 二分查找算法的时间复杂度计算(logN)(5)

5. Apache 2.4.9 开启 Gzip 压缩服务,并解决开启后 http 304 状态码失效问题(5)

6. 在 Centos 下命令行中使用 PHP 获取服务器 IP 地址(5)

7. Wap 手机端页面 history.go(-1) 返回上一级页面的初始位置,而不是顶部的解决办法(4)

8. CloverFlush.dll 没有被指定在 Windows 上运行,或者它包含错误。(4)

9. MySQL 中 delete 语句中的子查询限制(3)

10. 字符串 "open_door" 转成 "OpenDoor","make_by_id" 转成 "MakeById"(3)

Copyright © 2016-2017 马富天个人博客 All Rights Reserved. 版权所有

站点地图 谷歌地图 安全检测 收录查询 百度统计

京ICP备2021030661号-1