用户在PHP中提交的链接的安全规则

Question

我正在为一所大学开展项目。在每门课程中，教师都可以输入他们希望学生看到的链接。老师也可以允许学生自己发布链接。

但是，您可以从字面上输入任何内容到文本字段中，这意味着您可以发布恶意链接，当然我不希望这样。

什么是一些很好的“规则”，以防止发布任何内容？例如：我在想也许在字符串的第一部分搜索“http：//”，以确保它不是JavaScript或其他东西。

在此先感谢。

Answer 1

您可以使用正则表达式测试输入值。

这里是一个将匹配任何有效的URL地址，并没有别的：

/^(https?:\/\/)?([\da-z\.-]+)\.([a-z\.]{2,6})([\/\w \.-]*)*\/?$/ 

这里是你如何在PHP中使用它：

function validateURL($url) 
{ 
    return preg_match("/^(https?:\/\/)?([\da-z\.-]+)\.([a-z\.]{2,6})([\/\w \.-]*)*\/?$/", $url); 
} 

Answer 2

是，检查的URL前缀肯定会帮助。同时检查有效的URL字符。 http://phpcentral.com/208-url-validation-in-php.html

希望帮助 -

它可以与PHP和正则表达式容易做到。

Answer 3

我不知道就可以了，因为如果有人真的想伤害，他或她可以创建一个普通的网页重定向到恶意的一个......以保护，最好的办法是：

• 技术上：使用htmlentities来防止人们在字段中输入javascript，并确保字符编码良好。
• 从法律上说：写某个地方的链接不能是恶意的。

Answer 4

我会用strip_tags和htmlentities，然后将使用的preg_replace的<a>中的任何链接。

Answer 5

当然，您应该确保链接在显示时会被转义（使用htmlentities()并以utf-8作为字符集）。

确保在开始处有一个http：//当然是避免在用户单击链接时执行javascript的好主意。

之后，避免人们发布恶意链接的做法并不多。

谷歌重定向到一个页面第一，与链接，并警告用户，他将被重定向到一个潜在的恶意网站。

Answer 6

试图过滤输入将被证明是徒劳无益的，因为它是微不足道的绕过，你需要问责制。由于上下文是大学课程，因此您有一个相对较小的团体，具有可验证的身份 - 这使问责变得非常简单。

只要确保用户的名字与他们发布的链接相关联，并提醒人们保护他们的登录凭证的重要性。

如果有人发布不适当的材料，那么他们的帐户可以被暂停或只读，或采取其他措施。

我在想也许在字符串的第一部分搜索“http：//”，以确保它不是JavaScript或其他东西。

如果是https://怎么办？如果网址包含&字符，该怎么办？

通过htmlentities运行输入。这将保护您免受破坏HTML的代码（既有意也无意）。

Answer 7

这是什么问题？ :)

我的意思是：

$link = htmlentities($_POST['link']); 
$link = str_replace('http://','',$link); 
$link = 'http://'.$link; 

echo $link; 

其他伤心......你是在人的账户转了一圈，刚推入DB什么人做一个datetime和你总是会知道是谁，是什么，当;）