验证代码语言的PHP函数

Question

我有一个2 textareas表单;第一个允许用户发送HTML代码，第二个允许发送CSS代码。如果语言正确，我必须使用PHP函数进行验证。

如果语言是正确的，为了安全起见，我必须检查是否没有PHP代码或SQL注入或其他。

您认为如何？有没有办法做到这一点 ？ 我在哪里可以找到这种功能？

“HTML Purifier”http://htmlpurifier.org/是一个很好的解决方案吗？

Answer 1

是的。 htmlpurifier是一个很好的工具，可以清除恶意脚本并验证您的HTML。 不要以为它会做CSS。 显然它也适用于CSS。谢谢Briedis。

Answer 2

对于可以使用正则表达式的某些原语，但应该注意使用解析器来完全排除所有可能性。

/(<\?(?:php)?(.*)\?>)/i 

实施例：http://regexr.com?2t3e5（在表达式改变<回<，它会工作（由于某种原因，rexepr改变其到HTML格式））

EDIT

/(<\?(?:php)?(.*)(?:\?>|$))/i 

这可能会更好，所以他们不能在文档的末尾放置php（因为PHP实际上并不需要终止字符）

Answer 3

SHJS syntax highlighter for Javascript对于突出显示的语言，有正则表达式http://shjs.sourceforge.net/lang/的文件 - 您可以检查SHJS如何解析代码。

Answer 4

HTMLPurifier是推荐用于清理HTML的工具。幸运的是，它也包含CSSTidy，并且可以净化CSS。

......没有PHP代码或SQL注入等等。

你是基于错误的前提你的问题。虽然可以清除HTML，但这并不能防范其他漏洞攻击。 PHP“标签”最有可能被过滤掉。如果你正在做一些神秘的东西（包括-ING或部分EVAL-ING的内容），这是没有真正的帮助。
和SQL漏洞只能通过meticously使用适当的数据库逃生功能来防止。没有什么神奇的解决方案。

Answer 5

如果你有验证日期在将它们插入到数据库 - 那么你只需要到数据库插入之前使用mysql_real_escape_string（）函数。

//Safe database insertion 
mysql_query("INSERT INTO table(column) VALUES(".mysql_real_escape_string($_POST['field']).")"); 

如果你想将数据输出到最终用户为纯文本 - 那么你必须用htmlspecialchars逃避所有的HTML字符敏感（）。如果你想以HTML格式输出，你必须使用HTML Purify工具。

//Safe plain text output 
echo htmlspecialchars($data, ENT_QUOTES); 

//Safe HTML output 
$data = purifyHtml($data); //Or how it is spiecified in the purifier documentation 
echo $data; //Safe html output 

Answer 6

好的，谢谢大家。

实际上，我意识到我需要人工验证。用户可以发布HTML + CSS，我可以在PHP中验证语言的语法是否正确，但是它不会避免人们发布iframe，html重定向或大黑色的div来接受所有屏幕。

:-)