나는 PHP에서 BB 코드를 구문 분석하려고하지만 내 코드가 전혀 안전하지 않다고 생각합니다.bbcodes를 안전하게 구문 분석하는 방법은 무엇입니까?
$Text = preg_replace("(\[color=(.+?)\](.+?)\[\/color\])is","<span style=\"color: $1\">$2</span>",$Text);
나는이 같은 주사를 전달할 수 있다고 생각하고 그것을 작동합니다
[color=red]...[/color] OR [color=#FF0000]...[/color]
감사 :
[color=<script>alert('gotcha');</script>]...[/color]
방법 만이 standar을 색상 형식을 캡처 내 정규식을 개선하기 위해
html 태그를 마스크하려면'<'를 모두 '<'으로 바꿉니다. – serg
BBCode는 일반 언어가 아니므로 정규식을 사용하여 구문 분석 할 수 없습니다. – Gumbo