1

我对这样的事情很陌生,我正在尝试学习如何使用 preg_replace 创建一个简单的 BB 代码类型脚本,唯一的问题是我知道它可以注入这样简单的东西。

[img] " onerror="javascript code"[/img]

所以我的问题是,如果不使用 BB 代码解析器,我如何确保这是不可能的,因为我真的不想使用其中之一。也许 preg_replace 不是要走的路?

代码:

"/\[img\](.*?)\[\/img\]/is",

被转换为

'<a href="\\1"><img href="\\1" src="\\1" class="lightbox_trigger"></a>',
4

1 回答 1

2

你为什么要重新发明轮子?尝试使用已经制作的类/函数来完成这项工作。这种方法通常会降低安全漏洞的风险。

比如这个

于 2013-04-26T21:29:23.707 回答