有没有办法防止从数据库表中输出 img 元素?
在我的数据库中存储了一些 HTML 代码:
表:test_table
字段:代码
<p>This is simple test!</p><img src="files/test.img">
现在我正在输出数据库内容:
$code = $db->getValue('code');
<?php echo $code ?>
输出code字段的完整内容。我想阻止<img>-element 的输出。
【问题讨论】:
您可以通过两种方式进行操作。首先是其他人建议preg_replace() 或其次使用strip_tags() 和allowable_tags 参数,您可以在其中定义允许的标签。如果您的输出包含您不想回显的其他标签,那么您是安全的。
文档示例:
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";
// Allow <p> and <a>
echo strip_tags($text, '<p><a>');
上面的例子会输出:
Test paragraph. Other text
<p>Test paragraph.</p> <a href="#fragment">Other text</a>
【讨论】:
strip_tags() 是去这里的方式。它比preg_match() 更安全。永远不要使用正则表达式解析 HTML。
您可以使用 css 来做到这一点。
<div id="content">
$code = $db->getValue('code');
<?php echo $code ?>
</div>
CSS
#content img{display:none;}
或
jQuery
$(function(){
$('#content img').remove();
});
【讨论】:
您可能需要使用 preg_replace 通过使用 this ,它会将字符串中的所有 <img> 替换为 space。
如果你想替换成其他东西,修改
$replaceWith。
$content = '<p>This is simple test!</p><img src="files/test.img"><img src="files/test.img">';
$replaceWith = " ";
$content = preg_replace("/<img[^>]+\>/i", $replaceWith, $content);
echo $content;
与您的代码一起使用:
$code = $db->getValue('code');
$content = preg_replace("/<img[^>]+\>/i", " ", $code);
echo $content;
【讨论】: