kses(http://sourceforge.net/projects/kses/)或者只使用strip_tags?
答案 0 :(得分:3)
我快速浏览了一下kses代码。我注意到了:
它依赖于属性值中不存在的'>'字符(这是合法的)
其“错误的URL协议”处理程序不会过滤掉无法解析的内容,例如格式错误的字符引用和控制字符。
我认为我不相信这一点。
如果您必须允许(并过滤)HTML,则可以尝试htmlpurifier。我也不能担保它的安全性,但它被广泛使用。
使用除完整HTML解析器以外的任何内容进行HTML过滤 hard 。如果您可以提供允许用户输入HTML的任何替代方法(例如,使用简化的文本标记语言),请改为使用。
答案 1 :(得分:1)
非常依赖您的用例。您可以确保strip_tags() 多更快,因为它是一个用c编写的内置函数。另一方面,kses似乎提供了更多功能。因此,如果您不需要超过strip_tags()所做的,只需使用内置函数。