JavaScript过滤方法:
第一种方案:使用 htmlspecialchars 函数转换特殊字符和使用 nl2br 函数插入一些必要的 <br /> 标签。
$comment = <<<eof
<script type="text/javascript">
while (true) {
alert('我弹!');
}
</script>
eof; //假如 $comment 就是评论内容
$comment = nl2br(htmlspecialchars($comment)); //过滤javascript代码
echo $comment;
输出结果为:
<script type="text/javascript"><br />
while (true) {<br />
alert('我弹!');<br />
}<br />
</script>
第二种方案:把评论内容中出现的所有的<script...>,</script>去掉。
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment); //把评论内容中出现的所有的<script...>,</script>去掉
输出结果为:
while (true) {
alert('我弹!');
}
HTML过滤方法:
第一种方案:直接把<>这样的符号转义掉,或者直接删除掉都是可以的。
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);
第二种方案:使用 strip_tags() 函数即可。
<?php
echo strip_tags("Hello <b>world!</b>");
?>