я работаю над веб-приложением, которое позволяет пользователям вводить краткие описания элементов в каталоге. Я'Я разрешаю Markdown в моих текстовых полях, чтобы пользователи могли выполнять HTML-форматирование.

Моя функция очистки текста удаляет все теги из любого введенного текста перед вставкой в базу данных:

public function sanitizeText($string, $allowedTags = "") {
    $string = strip_tags($string, $allowedTags);

    if(get_magic_quotes_gpc()) {
        return mysql_real_escape_string(stripslashes($string));
    } else {
        return mysql_real_escape_string($string);
    }
}

По сути, все, что яв базе данных хранится Markdown - никакого другого HTML дажеосновной HTML " (как здесь, в SO) разрешено.

Будет ли разрешение на уценку представлять угрозу безопасности? Можно ли использовать XSSed уценку, даже если у нее нет тегов?