第一种 入库过滤js
自动填充时过滤js代码
class GoodsModel extends Model
{
// 填充
protected $_auto = [
// 自己补充填充规则
// 描述中 处理掉script部分
['description', 'mkDescription', self::MODEL_BOTH, 'callback'],
// 仅仅需要在插入维护
['created_at', 'time', self::MODEL_INSERT, 'function'],
// 更新时间, 插入和更新时 都需要更新
['updated_at', 'time', self::MODEL_BOTH, 'function'],
];
protected function mkDescription($value)
{
// 匹配 script标记的内容, *?非贪婪, /is, 忽略大小写+单行模式(万能点)
$pattern = '/<script.*?>.*?</script>/is';
$result = preg_replace_callback($pattern, function($match) {
// $match, 查找的匹配字符串
// 计算新的替换字符串, 进行替换
return htmlspecialchars($match[0]);
}, $value);
return $result;
}
}
第二种入库时转义,控制器中转义
- I('post.name','','htmlspecialchars'); // 采用htmlspecialchars方法对$_POST['name'] 进行过滤,如果不存在则返回空字符串
- 'DEFAULT_FILTER' => 'htmlspecialchars'
也就说,I方法的所有获取变量都会进行htmlspecialchars过滤,那么:
- I('get.name'); // 等同于 htmlspecialchars($_GET['name'])
同样,该参数也可以支持多个过滤,例如:
- 'DEFAULT_FILTER' => 'strip_tags,htmlspecialchars'
- I('get.name'); // 等同于 htmlspecialchars(strip_tags($_GET['name']))
如果我们在使用I方法的时候 指定了过滤方法,那么就会忽略DEFAULT_FILTER的设置,例如:
- echo I('get.name','','strip_tags'); // 等同于 strip_tags($_GET['name'])
I方法的第三个参数如果传入函数名,则表示调用该函数对变量进行过滤并返回(在变量是数组的情况下自动使用array_map进行过滤处理),否则会调用PHP内置的filter_var方法进行过滤处理,例如:
- I('post.email','',FILTER_VALIDATE_EMAIL);
表示 会对$_POST['email'] 进行 格式验证,如果不符合要求的话,返回空字符串。
(关于更多的验证格式,可以参考 官方手册的filter_var用法。)
或者可以用下面的字符标识方式:
- I('post.email','','email');
可以支持的过滤名称必须是filter_list方法中的有效值(不同的服务器环境可能有所不同),可能支持的包括:
- int
- boolean
- float
- validate_regexp
- validate_url
- validate_email
- validate_ip
- string
- stripped
- encoded
- special_chars
- unsafe_raw
- email
- url
- number_int
- number_float
- magic_quotes
- callback
在有些特殊的情况下,我们不希望进行任何过滤,即使DEFAULT_FILTER已经有所设置,可以使用:
- I('get.name','',NULL);
一旦过滤参数设置为NULL,即表示不再进行任何的过滤。
I()函数编码;然后文章内容解码decode后再入库,这样
$article=I("post.post");
$article['post_content']=htmlspecialchars_decode($article['post_content']);
$result=$this->posts_model->save($article);
3前台转义,视图中显示数据时转义
<volist name="rows" id="row">
<tr>
<td class="text-center">
<input type="checkbox" name="selected[]" value="{$row['goods_id']}" />
</td>
<td class="text-left">{$row['name']|htmlspecialchars}</td>
<td class="text-left">{$row['image_thumb']}</td>