我有基于表单和PHP捕获POST的评论系统。我尝试进行某种格式化(粗体,下划线,斜体......)但我使用的是XSS保护:htmlspecialchars()。
如何告诉PHP不要解析和其他标签?是否有任何JS编辑器可以编辑文本并将其作为textarea发送?
答案 0 :(得分:1)
可能最安全的方法是为简单格式化降低标记,然后在输出点将其转换为HTML。
如果您想使用实际的HTML,我会选择您要保留的标签的白名单方法,并使用strip_tags将该白名单作为第一种方法。虽然使用像markdown这样的其他格式可能是更安全的变体。