Nur bestimmten HTML Code zulassen

Das Zauberwort heißt strip_tags. Schau mal auf php.net/manual/de/function.strip-tags.php. Da findest du alles wichtige dazu!
07.12.2011 um 13:18

Um es mal ein bisschen genauer zu erklären: Die Funktion strip_tags() erwartet als Parameter einen String und optional die erlaubten Tags. Beispiel:

$s='<p>Wort</p><br><br>';
echo strip_tags($s);
//Ausgabe 1: 'Wort'
echo strip_tags($s,'<p><a>');
//Ausgabe 2: '<p>Wort</p>'

In der Ausgabe 1 sind keine Tags erlaubt, es wird nur 'Wort' ausgegeben. Anders ist es in der zweiten Ausgabe, hier ist der HTML Code <p> und <a> erlaubt. Da der String $s kein <a> enthält aber <p> bleiben alle <p> erhalten. Der Zeilenumbruch <br> wird aber gelöscht, da dieser nicht erlaubt ist. Würde man strip_tags($s, '<p><a><br>') schreiben, wäre auch der Zeilenumbruch <br> erlaubt.
08.12.2011 um 13:06

Achtung! Man sollte sich nicht alleine auf strip_tags verlassen! In einem erlaubten HTML-Tag könnte ein "böser" User mittels onmouseover oder dergleichen schadhaften Code unterbringen. Dieser wird mit strip_tags alleine noch nicht entfernt.

Man kann sich zum Beispiel so behelfen:

//String mit Tags und Schadcode
$txt = '<p class="x" onmouseover="alert(1);">
          Text Text Text <strong>Text</strong>
        </p>';

//Bereinigen
$txt = strip_tags($s,'<p>');
$regex = "#<(/?\w+)\s+[^>]*>#is";
$txt = preg_replace($regex, '<${1}>',$txt);

//Ausgabe
echo $txt; // '<p>Text Text Text Text</p>'

Dieser Code benutzt als erstes strip_tags(), um alle Tags bis auf <p> aus dem String zu löschen. Danach wird ein regulärer Ausdruck benutzt, der alle Attribute aus den Tags löscht. Dadurch verschwindet der onmouseover Befehl aus dem p-Tag, aber auch das, was bei class oder anderen möglicherweise gewollten Attributen angegeben ist. Wenn man bestimmte Attribute wünscht, kann man die Funktion noch entsprechend anpassen.
08.12.2011 um 21:40