PHP strip_tags()

Beschreibung

Mit der PHP Funktion strip_tags() ist es möglich, alle HTML-Tags aus einer Zeichenkette bzw. einer Variable zu entfernen. Genutzt wird dies bei Formularen, Post-Ereignissen und Get-Ereignissen. Die strip_tags Funktion macht das Script also sicherer vor Manipulation oder einschleusen von Code, welcher Beispielsweise das Design zerstören kann.

Aufbau und Parameter

$string strip_tags ( $string [, $taglist] )

Erläuterung zu den Parametern von strip_tags()

$string – die Ausgabe mit der gefixten Zeichenkette
strip_tags – unsere Funktion zum entfernen schädlichen HTML Codes
$string – die Zeichenkette, welche behandelt werden soll
[$taglist] – [optinal] kann eine Zeichenkette mit Tags angehängt werden, welche nicht entfernt werden sollen

Beispiel – alle Codes entfernen

$usereingabe = 'Mein <b>Kommentar</b> <a href="http://webmaster-glossar.de/">Link</a>';
echo strip_tags($usereingabe);
//Ausgabe: Mein Kommentar

Beispiel 2 – alle Codes außer <a> Links entfernen

$usereingabe = 'Mein <b>Kommentar</b> <a href="http://webmaster-glossar.de/">Link</a>';
echo strip_tags($usereingabe, '<a>');
//Ausgabe: Mein Kommentar <a href="http://webmaster-glossar.de/">Link</a>

Man sieht sehr schön, dass im 2. Beispiel der Link erhalten bleibt. Bei beiden Beispielen wird der <b> Bold Tag entfernt.

Hinweis: PHP.net warnt hier einmal, dass nicht unbedingt alles erkannt werden kann – sozusagen Fehlerauftreten könnten. Zum anderen das bei allow (erlaubte) HTML-Tags beispielsweise schadhaften JavaScript-Code oder Style-Attribute enthalten sein können und nicht rausgefixt werden. Es ist also für eine Sicherheitsfunktion empfehlenswert, weiteres rauszustrippen. Beispielsweise JavaScript-Code (onclick,..) sowie manipulative CSS Style-Attribute in Tags.