Не обязательно безопасно помещать его в атрибуты mysql или url.
ли известная XSS или другая атака, которая делает это после
$content = "some HTML code";
$content = strip_tags($content);
echo $content;
?
руководство по эксплуатации есть предупреждение:
Эта функция не изменяет какие-либо атрибуты тегов, которые вы разрешаете использовать allowable_tags, включая атрибуты style и onmouseover, которыми злой пользователь может злоупотреблять при публикации текста, который будет показан другим пользователям.
но это связано с использованиемallowable_tags
только параметр.
Без установленных тегов, являетсяstrip_tags()
уязвимы для любой атаки?
Крис Шифлетт кажется, что это безопасно:
Используйте зрелые решения
По возможности используйте зрелые, существующие решения вместо того, чтобы пытаться создавать свои собственные. Такие функции, как strip_tags () и htmlentities (), являются хорошим выбором.
это верно? Пожалуйста, если возможно, цитируйте источники.
Я знаю о HTML-очистителе, htmlspecialchars () и т. Д.не ищу лучший метод для дезинфекции HTML. Я просто хочу знать об этой конкретной проблеме. Это теоретический вопрос, который возникВот.