我允许用户在他们的页面上嵌入视频,但以防万一我想过滤输出。为了呈现视频,我从数据库中检索嵌入语句,但是当它被过滤时,它以原始代码呈现。有没有一种视频友好的方式来过滤这样的事情,或者有没有人有任何建议以不同的方式来做到这一点?提前感谢您的任何建议。是否有可能过滤嵌入htmlspecialchars()的视频
while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
$video= htmlspecialchars($row['video'], ENT_NOQUOTES, 'UTF-8');
}
echo "$video";
在数据库中,视频将看起来像这样的例子
<object width="464" height="368" id="669545" type="application/x-shockwave-flash"
classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" alt="Aqua Teen Hunger Force - Hand Banana Funny
Videos"><param name="movie" value="http://embed.break.com/NjY5NTQ1"></param><param
name="allowScriptAccess" value="always"></param><embed src="http://embed.break.com/NjY5NTQ1"
type="application/x-shockwave-flash" allowScriptAccess=always width="464" height="368"></embed></
object><br><font size=1><a href="http://www.break.com/usercontent/2009/2/Aqua-Teen-Hunger-Force-Hand-
Banana-669545.html" target="_blank">Aqua Teen Hunger Force - Hand Banana</a> - Watch more <a href="http://
www.break.com" target="_blank">Funny Videos</a></font>
我喜欢第三种选择,但如果他们发布Flash或JavaScript内容到文本区域,无论如何,htmlspecialchars会阻止执行恶意代码,如果您过滤输出?是否有任何其他方式来过滤/防止跨站点脚本攻击? – Scarface 2010-09-23 16:20:51
是的,如果他们在输入中输入'