|
|
|
<br> 你可以在php程序中的任何地方使用 <BR>echo "hello world!"; <BR>来输出你想输出的内容。 <BR><BR>不过你将遇到以下麻烦: <BR><BR>1 - <BR>当你试图在hello和world之间加入两个(或两个以上)空格, <BR>你使用: <BR>echo "hello world!"; <BR>你得到的输出还是一个空格,或者你在行首加入一个空格, <BR>你的空格也将被忽略。 <BR><BR>2 - <BR>更糟的是输出用户输入的内容时,有心或无意的用户输入将 <BR>使你的输出变的一团糟,甚至给其他用户带来麻烦。 <BR>比如: <BR><BR><TABLE cellSpacing=0 cellPadding=0 width="85%"><TBODY><TR><TD style="BORDER-RIGHT: rgb(0,0,0) 1px groove; BORDER-TOP: rgb(0,0,0) 1px groove; BORDER-LEFT: rgb(0,0,0) 1px groove; BORDER-BOTTOM: rgb(0,0,0) 1px groove" bgColor=#eeeeee><form action="output.php"> <BR><textarea name="in_txt"> <BR></textarea> <BR><br> <BR><input type="submit"> <BR></form> {.code} <BR><BR>如果用户输入中有不止一行的内容,那么你如果简单地 <BR>echo $in_txt; <BR>用户的换行将被忽略。 <BR><BR>3 - <BR>还是上面的例子,大部分情况我们不希望用户输入html <BR>代码,因为你不知道用户会输入什么。 <BR>用户甚至可以写一段代码使你网站所有的用户死机。 <BR>当然你不希望那样,但是你如果简单地 <BR>echo $in_txt; <BR>就不可能避免。 <BR><BR><BR>解决方法: <BR>对于1,可以使用ereg_replace(" {2}","$nbsp; ",$in_txt) <BR>两个在一起的空格将变成两个空格的转义符($nbsp)。 <BR><BR>对于2,nl2br($in_txt)是最好的选择,这样所以的换行就换成 <BR>"<br>"了。 <BR><BR>对于3,安全地显示用户输入的html代码,php中也有专门的函数。 <BR>htmlspecialchars($in_txt)就可以了。 <BR><BR><BR>另外,如果$in_txt是从mysql数据库中提出的,那么他在以前插入时 <BR>一定要使用addslashes(),相应的,取出时就一定要stripslashes()。 <BR><BR>总结: <BR>如果$in_txt是用户输入的文本,一般可以这样输出: <BR><TABLE cellSpacing=0 cellPadding=0 width="85%"><TBODY><TR><TD style="BORDER-RIGHT: rgb(0,0,0) 1px groove; BORDER-TOP: rgb(0,0,0) 1px groove; BORDER-LEFT: rgb(0,0,0) 1px groove; BORDER-BOTTOM: rgb(0,0,0) 1px groove" bgColor=#eeeeee>echo ereg_replace(" {2}"," ",nl2br(htmlspecialchars(stripslashes($in_txt)))); </TD></TR></TBODY></TABLE></TR></TBODY></TABLE><br><br> |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-2-24 13:35:03
置顶卡
喧嚣卡
变色卡
千斤顶