Правим једну модификацију за SMF где треба дозволити кориснику унос HTML-а и CSS-а којим ће моћи да прилагоди изглед своје странице. Али, не треба му дозволити да унесе javascript или нешто слично чиме би могао да злоупотреби ову могућност.
Оно што тренутно користим је следеће:
Kôd:
function clean_html ($html) {
$html = preg_replace ('@<script[^>]*?>.*?</script>@si', '', $html);
$html = preg_replace ('@<script[^>]*?>@si', '', $html);
$html = preg_replace ('@<iframe[^>]*?>.*?</iframe>@si', '', $html);
$html = preg_replace ('@<iframe[^>]*?>@si', '', $html);
$html = preg_replace ('@<meta[^>]*?>@si', '', $html);
return $html;
}
Међутим, мислим да ни ово није довољно пошто се javascript може наћи и у атрибутима HTML тагова. Да ли је могуће филтрирати све атрибуте у HTML таговима сем id, class и style?