在 HTML 页面中显示纯 PHP 代码

Question

我在这里谈论（特别是）论坛 - [PHP]代码[/PHP] - 风格。有些论坛会转义双引号或其他“危险字符”，而其他论坛则不会。

最好的方法是什么？你们都用什么？ 可以做到不用担心代码注入吗？

编辑：谁说过要重新发明轮子？

Answer 1

当 PHP echo 或 print 文本时，它永远不会执行它。只有 eval 才会发生这种情况。这意味着如果您这样做：

echo '<?php ... ?>';

它将继续到页面输出并且不会被解析或执行。

这意味着您需要做的就是转义常用字符（<、>、& 等），并且您应该一般来说是安全的。

Answer 2

不要重新发明轮子。我在你的问题中看到了 BBCode。获取一个 Markdown 库并使用它。所以使用这个： http://daringfireball.net/projects/markdown/

Answer 3

1. 不用担心 PHP 代码注入（除非您正在做一些不寻常的事情，例如评估 HTML 模板），但总是担心 JS 代码注入，通常称为 XSS。所有危险仅来自可能的 JS 代码。
2. 因此，对于 HTML 页面上显示的 PHP 代码没有特殊处理。只需将其视为任何其他数据即可。 < > 括号通常会被转义，原因显而易见。
3. 不要重新发明轮子。 PHP 为此提供了 highlight_string 函数

Answer 4

如果您在某些页面上看到转义的引号，很可能是因为他们的脚本转义了两次（例如 magic_quotes 执行了一次，然后再次执行了 mysql_query() ）。正确完成数据清理后，您不应在输出中看到转义字符。