PHP: Sichere Formulare mit strip_tags()

Wer Eingabe-Formulare zum Beispiel für Foren verwendet, wirft in der Regel sämtlichen HTML-Code heraus. Nur so lässt sich verhindern, dass unfreundliche Zeitgenossen das Layout der Seite durcheinander bringen oder – noch schlimmer – versuchen, Javascript-Code einzuschleusen. Beim Entfernen der HTML-Tags hilft die Funktion strip_tags(), zum Beispiel:

<?php

$strTest = ‘Ich bin ein Foreneintrag mit einem

<b>fetten</b> HTML-Code.’;

echo strip_tags($strTest).”<br/>n”;

?>

In einem Browser würde der Text ohne fette Markierung erscheinen. Was aber, wenn man nicht ganz so restriktiv sein möchte? Dann definieren Sie in strip_tags() einfach eine oder mehrere Ausnahmen, zum Beispiel:

<?php

$strTest = ‘Ich bin ein Foreneintrag mit einem

<b>fetten</b> HTML-Code.’;

echo strip_tags($strTest, ‘<b>’);

?>

Hier erscheint das Adjektiv “fetten” tatsächlich in Fettschrift, alle anderen Tags würden aber weiterhin ausgefiltert. Falls Sie mehrere Tags als Ausnahmen angeben wollen, schreiben Sie sie einfach hintereinander oder trennen Sie sie mit jeweils einem Komma.

Ähnliche Beiträge