Хорошо, теперь у меня есть дилемма, мне нужно разрешить пользователям вставлять необработанный HTML, но также и блокировать все JS - не только теги сценария, но и href и т. Д. На данный момент все, что я знаю, это

htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Но это также преобразует допустимые теги в закодированные символы. Если я использую стрип-тэги, это также нене работает как этоудаляет теги! (Я знаю, что вы можете разрешить теги, но дело в том, если я разрешить любые теги, такие как<a></a> люди могут добавить к нему вредоносный JS.

Что я могу сделать, чтобы разрешить HTML-теги, но без инъекции XSS? Я запланировал функцию:xss() и настроить мой сайтШаблон с этим. Возвращает экранированную строку. (Мне просто нужна помощь спобег :))

Спасибо!