php - 如何在 php 中显示存储在变量中的 html 代码

Question

在我的index.html页面中，我从用户那里获取了一个嵌入链接，例如：

<iframe width='560' height='315' src='http://www.youtube.com/embed/GasAmUfvXJs'     frameborder='0' allowfullscreen></iframe>

这段代码将被传递给我的 PHP 脚本，该脚本会将其存储在一个变量中并对其执行一些验证。验证成功后，我尝试在 PHP 脚本中回显变量。但它不能正确显示。

这是PHP脚本：

<?php

if(isset($_POST['embed']) && isset($_POST['date'])){

$embed = $_POST['embed'];
$date = $_POST['date'];

if(!empty($embed) && !empty($date)){

    echo "OK - VIDEO";
    $final = $embed;
    echo "$final";

}else{
    $final = "Try again - not empty";
    echo "$final";
}

}else{

echo "try again - not set";

} 

?>

Answer 1

如果您回显 html，它将由浏览器呈现，如果您想回显 html 的源代码，那么您可以使用：htmlentites()

echo htmlentites($final);

如果这不是你的后，请解释：But it does not display it correctly.

另外：您不应该输出任何用户输入的 html，或者您的脚本是按设计对 XSS 开放的，验证不是!empty($embed)您应该只从代码中取出视频的 youtube id 并从中构建您自己的嵌入代码。

继承人如何做到这一点：

<?php 
if($_SERVER['REQUEST_METHOD']=='POST'){
    if(!empty($_POST['embed']) && !empty($_POST['date'])){

        if(preg_match('#http://www.youtube.com/embed/([a-zA-Z0-9_-]+)\"#',$_POST['embed'],$match)==true){

            $embed = <<<EMBEDCODE
<iframe width="640" height="360"
        src="http://www.youtube.com/embed/{$match[1]}?feature=player_embedded"
        frameborder="0" allowfullscreen>
</iframe>
EMBEDCODE;

        }else{
            $embed = "Not a real youtube embedcode! Try Again";
        }

    }else{
        $embed = "Enter youtube embedcode.";
    }
}
?>

<h1>Youtube Yada</h1>
<form method="POST" action="">
  <p>Embedcode:<textarea rows="9" name="embed" cols="44"></textarea></p>
  <p>Date:<input type="text" name="date" value="<?php echo date("F j, Y, g:i a");?>" size="20"></p>
  <p><input type="submit" value="Submit" name="B1"></p>
</form>

<?php echo(isset($embed)?$embed:null);?>

测试：

<iframe width="560" height="315" src="http://www.youtube.com/embed/GasAmUfvXJs" frameborder="0" allowfullscreen></iframe>