php过滤危险html代码 

用PHP过滤html里可能被利用来引入外部危险内容的代码。有些时候，需要让用户提交html内容，以便丰富用户发布的信息，当然，有些可能造成显示页面布局混乱的代码也在过滤范围内。

php过滤危险html代码如下:

function cfFilterContent($str)
{
   $farr = array( 
    "/\s+/", //过滤多余的空白 
    "/<(\/?)(scripti?framestylehtmlbodytitlelinkmeta\?\%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 
    "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件 
    ); 
    
    $tarr = array( 
    " ", 
    "＜\\1\\2\\3＞", //如果要直接清除不安全的标签，这里可以留空 
    "\\1\\2", 
    ); 
    
    $str = preg_replace( $farr,$tarr,$str); 
    
    return $str; 
    
// 下面代码报错，注销不用：Warning : preg_replace() [function.preg-replace ]: Unknown modifier    
// $farr = array(
// "/s+/", //过滤多余的空白
// "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|\%)([^>]*?)>/isU", //过滤
// "/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",                                      //过滤javascript的on事件
//   );
//   $tarr = array(
//         " ",
//         "＜\1\2\3＞",           //如果要直接清除不安全的标签，这里可以留空
//         "\1\2\3",
//   );
//   $str = preg_replace( $farr,$tarr,$str);
//   return $str;
} 

以上

参考来源：https://www.jb51.net/article/18894.htm