Предотвратить XSS с помощью strip_tags ()?

У меня есть веб-приложения на PHP. Я не хочу позволять пользователям публиковать HTML на моем сайте.

Если я просто бегуstrip_tags() на все данные перед сохранением в моей базе данных, будетstrip_tags() будет достаточно, чтобы предотвратить XSS?

Я спрашиваю, потому что мне непонятно читатьдокументация по strip_tags если XSS предотвращен. Кажется, есть какая-то ошибка с разрешением браузера<0/script> (да, ноль) как действительный HTML.

ОБНОВИТЬ

Я понимаю, что могу просто бежатьhtmlspecialchars на всех выводимых данных; тем не менее, я думаю, что - поскольку я не хочу разрешать HTML в первую очередь, просто (и академически лучше) очистить мои данные раз и навсегда, прежде чем сохранять в моей базе данных, а затем каждый раз приходится беспокоиться Я вывожу данные, если данные безопасны или нет.

Ответы на вопрос(6)

Ваш ответ на вопрос