我想将用户的个人网址存储为纯文本,由 htmlspecialchars() 编码。
然后我会检索这些数据并生成并显示一个链接,如下所示:
echo '<a href="'.$retrieved_string.'" target="_blank">';
然而,即使使用编码的特殊字符和引号,href 也可能不安全,因为可能插入了 javascript,错误链接的示例:
javascript:alert(document.cookie);
所以我在想的是剥离一个潜在的'javascript'标签(当然在我进行特殊字符编码之前),如下所示:
preg_replace('/^javascript:?/', '', $submitted_and_trimmed_input);
所以让我们总结一下:
$input=htmlspecialchars(preg_replace('/^javascript:?/', '', trim($_POST['link'])),11,'UTF-8',true);
mysql_query("update users set link='".mysql_real_escape_string($input)."'");
//And retrieving:
$query=mysql_query("select link from users");
$a=mysql_fetch_assoc($query);
echo '<a href="'.$a['link'].'" target="_blank">';
现在的问题是,对于安全的 url 链接是否足够,或者是否有任何其他潜在的意外我应该警惕?
编辑:
我读过一些关于 filter_var() 的内容,它似乎在很多方面都完全失败了。它不使用 unicode 字符验证国际域,然后以下字符串再次成功通过测试:
http://example.com/"><script>alert(document.cookie)</script>
- 我的意思是普通...这太荒谬了,一定有更好的方法