私はPHPでコメント解析関数を書いています。コメントフォームにBBCodeは使用してもHTMLを使用しないのはなぜですか?
BBCodeは本当のマークアップ言語ではないので、I'vは書くスタイルを決して好みませんでした。
私は訪問者にコメントフォームで基本的なHTMLコードを使用できるようにしています。
投稿時に、PHPは許可されていないタグ/属性をチェックし、置き換えたり削除したりします。
私はそれが同じ仕事をし、BBCodeとまったく同じ結果を出力すると信じています。
これが当てはまる場合、なぜBBCodeはありますか? BBcodeはHTMLよりも利点がありますか?
更新
モノクロはあなたのHTMLフィルタが十分に安全であることを確信している場合は、あなたがよく
かかわらず問題ないはず、私は自信を持って書いていないんだ
に答えてフィルタは自分ではありますが、PHPの単純なHTML DOMパーサ、HTML浄化器、htmLawedのようないくつかのトップレートフィルターがあります。
BBCodeはUBBによって開発され、phpBBのように広く使われています。
UBB/phpBBの開発者は、完璧なHTMLフィルタを作成するスキルについて自信を持っていませんか?
また、StackOverflowが使っているMarkdownのように、HTML + Parserがその仕事をしているとしたら、どうして別の "言語"を発明するのでしょうか? (いくつかのビットを保存することを除いて...)
Markdownは新しいマークアップです。 – BoltClock
私はHTMLマークアップがかなり簡単に悪用されていると思います。あなたのチェックは回避策です。ハッカーは、セキュリティホールを見つけることになるとかなり独創的になる可能性があります;) – knittl
@knittlこれは私/ PHP VSハッカーについてです。まあ、たぶん私は "IF ...私の構文解析システムは/強く書かれている"を追加する必要があります。私は本当にhtmlが許されるコメントフォームに対するハッキングの例を見たいと思います。 – Jon