用PHP過濾html里可能被利用來引入外部危險內(nèi)容的代碼。有些時候，需要讓用戶提交html內(nèi)容，以便豐富用戶發(fā)布的信息，當(dāng)然，有些可能造成顯示頁面布局混亂的代碼也在過濾范圍內(nèi)。

以下是引用片段：

1. #用戶發(fā)布的html,過濾危險代碼  
2. function uh($str)  
3. {  
4. $farr = array(  
5. "/s+/", //過濾多余的空白  
6. "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU", //過濾 <script 等可能引入惡意內(nèi)容或惡意改變顯示布局的代碼,如果不需要插入flash等,還可以加入 </script 等可能引入惡意內(nèi)容或惡意改變顯示布局的代碼,如果不需要插入flash等,還可以加入
7. "/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU", //過濾javascript的on事件  
8. );  
9. $tarr = array(  
10. " ",  
11. "＜/1/2/3＞", //如果要直接清除不安全的標(biāo)簽，這里可以留空  
12. "/1/2",  
13. );  
14. $str = preg_replace( $farr,$tarr,$str);  
15. return $str;  
16. }