Как удалить PHP код из HTML+PHP текста при этом оставить HTML?

[juDge]

Как удалить PHP код из HTML+PHP текста при этом оставить HTML?

Как удалить PHP код из HTML+PHP текста при этом оставить HTML?
strip_tags удаляет к сожалению и то и другое.

 

[Андрейка]

а что должно остаться после

<?php if (false) { ?>
<b>ttt</b>
<? } ?>

?

 

[Апокалипсис]

Выполнить код и броузером просмотреть в виде html и сохранить

 

[juDge]

Автор оригинала: Андрейка
а что должно остаться после

<?php if (false) { ?>
<b>ttt</b>
<? } ?>

?

---------------------------
<html>
<body>
test1
<?php echo "testing"; ?>
test2
<?=$evil;?>
</body>
</html>
---------------------------

после очистки должно остатся

---------------------------
<html>
<body>
test1
test2
</body>
</html>
---------------------------

 

[WP]

Регуляркой.

 

[juDge]

есть шаблончик готовый?

 

[Андрейка]

juDge
есть.. [m]token_get_all[/m] называеццо

 

[Wicked]

juDge
можно узнать -- ЗАЧЕМ?

 

[juDge]

Wicked
В HTML будет помещен другой "служебный" PHP код но проблема в том что HTML будет формироватся людьми со стороны и чтобы защититься от вредоносного кода собственно и нужно удалить PHP.

 

[Beavis]

/<\?.*\?>/U

такой подойдет?

 

[Апокалипсис]

Может стоит задуматься о шаблонизаторе?
И не исполнять php код в html файлах?

 

[Андрейка]

Beavis
подойдет конечно..
<?xml version="1.0" ?>
<html>
</html>

 

[juDge]

Апокалипсис
А не задумывался что в любом случае что как правило (зависит от шаблонизатора) все сводится к тому что любой шаблонизатор приводит шаблон к представлению в виде кода PHP.
Вопрос остается только в том что шаблн должен быть чистым на предмет вредоносного кода и разрешены только функции представленные в шаблонном движке... тоесть сначало надо очистить шаблн от кода потом пропарсит шаблон движком и получам "безвредный" аутпут

 

[Beavis]

Автор оригинала: Андрейка
Beavis
подойдет конечно..
<?xml version="1.0" ?>
<html>
</html>

что проще, потом вручную дописать эту строку или регулярку усложнять?

 

[Anarki]

Что-то навроде этого(не учитывается что в коде могут быть "?>")

$html = preg_replace('/<\?(?:php|=|\s+).*?\?>/s','',$html);

 

[Андрейка]

Beavis
проще не пользовацца регулярками в этом случае

 

[Beavis]

Андрейка
не спорю

 

[juDge]

Anarki
+1

 

[Фанат]

juDge
ты не там ищешь врага.
"вредный" код у тебя не в шаблонах.
а пишешь ты глупости.
далеко не все шаблонизаторы приводят код к пхп.
далеко не все те, что приводят - позволяют размещать пхп код в шаблонах.
и дело не в них, а в твоем шаблоне.
который ты, зачем-то, исполняешь вместо того, чтобы просто выводить.

 

[juDge]

Автор оригинала: *****
juDge
ты не там ищешь врага.
"вредный" код у тебя не в шаблонах.
а пишешь ты глупости.
далеко не все шаблонизаторы приводят код к пхп.
далеко не все те, что приводят - позволяют размещать пхп код в шаблонах.
и дело не в них, а в твоем шаблоне.
который ты, зачем-то, исполняешь вместо того, чтобы просто выводить.

1) Статистика показывает что большенство взломов как правило совершаются своими же сотрудниками (либо бывшими).
Не стоит не дооценивать псвоего противника.
2) По поводу шаблонизаторов приводящих шаблон в итоге к коду PHP, читайте внимательно пост. В котором есть оговорка
>то как правило (зависит от шаблонизатора)
3) Классы движков шаблонов с хорошей логикой, подобной коротки кускам кода на читом PHP, слишком тяжелые.
Везде должен быть некий баланс между потребностями "приложения", удобствами работы и скоростью работы конечного результата