Предотвратить XSS с помощью strip_tags ()?
У меня есть веб-приложения на PHP. Я не хочу позволять пользователям публиковать HTML на моем сайте.
Если я просто бегуstrip_tags
() на все данные перед сохранением в моей базе данных, будетstrip_tags
() будет достаточно, чтобы предотвратить XSS?
Я спрашиваю, потому что мне непонятно читатьдокументация по strip_tags если XSS предотвращен. Кажется, есть какая-то ошибка с разрешением браузера<0/script>
(да, ноль) как действительный HTML.
ОБНОВИТЬ
Я понимаю, что могу просто бежатьhtmlspecialchars
на всех выводимых данных; тем не менее, я думаю, что - поскольку я не хочу разрешать HTML в первую очередь, просто (и академически лучше) очистить мои данные раз и навсегда, прежде чем сохранять в моей базе данных, а затем каждый раз приходится беспокоиться Я вывожу данные, если данные безопасны или нет.