В приложении PHP, которое я пишу, я хотел бы, чтобы пользователи вводили в текст сочетание HTML и текста с остроконечными скобками, но когда я отображаю этот текст, я хочу, чтобы теги HTML отображались тегами, отличными от HTML. быть показанным литературно, т.е. пользователь должен иметь возможность ввести:
<b> 5 > 3 = true</b>
при отображении пользователь должен увидеть:
5 > 3 = верно
Каков наилучший способ разобрать это, т.е. найти все скобки, отличные от HTML, преобразовать их в и?
Я бы порекомендовал пользователям ввести разметку в стиле BBcode, которую вы затем замените тегами html:
[b]This is bold[/b]
[i]this is italic with a > 'greater than' sign there[/i]
Это дает вам больше контроля над тем, как вы анализируете ввод пользователя в html, хотя я признаю, что это выглядит ненужным бременем.
Если вы разрешаете пользователю вводить HTML, вам нужно решить гораздо более серьезную проблему, чем несколько неэкранированных угловых скобок; HTML действительно сложно проверить и правильно отфильтровать, и если вы не сделаете это правильно, вы откроете себя для XSS-атак. Я написал библиотеку, которая делает это; кто-то уже разместил ссылку на него здесь, так что я не буду повторяться.
Однако, чтобы ответить на ваш вопрос, самый надежный способ преобразования случайных угловых скобок в их экранированные формы - это анализ HTML с помощью DOM/libxml, а затем его повторная сериализация. Все, что использует регулярные выражения или что-то подобное, будет обречено на провал из-за крайних случаев. Вы также можете написать свой собственный синтаксический анализатор, но это также требует некоторой работы.
Лучше всего было бы сделать наоборот: вместо того, чтобы находить не-HTML-скобки и экранировать их, сначала экранируйте все, а затем ищите <b> и </b> и экранируйте только эти особые случаи. Таким образом, вы не рискуете, что пользователь внедрит вредоносный HTML-код на вашу страницу (если вы попытаетесь скрыть только то, что необходимо, вы рискуете упустить что-то важное).
