У Джеймса Девилла есть очень хороший вопрос - вероятно, лучшее решение - использовать систему разметки текста, которая уже была собрана (уценка и т. Д.).
Но если вы решите, сделайте нужно сделать это по-своему (при условии, что будет ввод пользователя):
Просто убедитесь, что НЕ использует что-то вроде s/\[/</ и s/\]/>/.Это сделает вас широко открытыми для уязвимостей.
Кто-то может ввести
[script type="text/javascript" src="http://malicious-server.haxx/XSS.js"]
, который будет переведен в
<script type="text/javascript" src="http://malicious-server.haxx/XSS.js">
Тогда любой, кто просматривает этот фрагмент текста, такженепреднамеренно запрашивать этот вредоносный javascript.
Резюме: Если вы сделаете это неправильно, вы можете создать серьезные уязвимости в безопасности вашего сайта.Поэтому используйте уже внедренную систему, если это вообще возможно.В противном случае будьте очень разборчивы в отношении того, какие теги вы принимаете.