当我们处理用户输入的url时,需要当心用户输入不合法的危险协议,同时,当我们需要输出到页面中时,我们要对URL经过HTML编码处理,so下面两个函数可以使用
drupal_strip_dangerous_protocols($uri);
check_url($uri);
去除危险的schemes,使用drupal_strip_dangerous_protocols();
drupal7代码如下:
function drupal_strip_dangerous_protocls($uri){
static $allowed_protocols;
if( !isset( $allowed_protocols ) ){
$allowed_protocols = array_flip(variable_get('filter_allowed_protocols',array(
'ftp','http','https','irc','mailto','news','nntp','rtsp','sftp','ssh','tel','telnet','webcal'
)));
}
do{
$before = $uri;
$colonpos = strpos( $uri ,':' );
if($colonpos > 0){
$protocol = substr( $uri,0,$colonpos );
//当协议中出现? # 则不认识是url的scheme部分
if( preg_match( '![/?#]!',$protocol ) ){
break;
}
if( !isset( $allowed_protocols[strtolower($protocol)] ) ){
$uri = substr( $uri,$colonpos + 1 );
}
}
}while($before != $uri);
return $uri;
}上面这个函数可以去除如javascript:开始的uri,这个函数我们可以使用在需要输出用户输入的url的时候。它被用作check_url()或filter_xss()函数的一部,做为html编码内容返回;也可单独使用,作为字符串传给t()、l()、drupal_attribute()、check_plain()等函数使用。
当需要做为HTML代码输出到页面时,可以是check_url($uri);
drupal7代码如下:
function check_url($uri){
return check_plian(drupal_strip_dangerous_protocols($uri));
}案例参考:
$a = check_url('javascript://www.baidu.com/a/b/c?dd=javascripr:<script>void(0)</script>');
print_r($a);
// //www.baidu.com/a/b/c?dd=javascripr:<script>alert(1)</script>以上代码仅供参考,详情请参考drupal7API文档。
