Ich habe eine PHP-Webanwendung. Ich möchte Benutzern NICHT erlauben, HTML-Code auf meiner Website zu veröffentlichen.

Wenn ich einfach rennestrip_tags () für alle Daten vor dem Speichern in meine Datenbank wirdstrip_tags () reicht aus, um XSS zu verhindern?

Ich frage, weil es mir unklar ist, das @ zu lesdocumentation of strip_tags wenn XSS verhindert ist. Es scheint einen Fehler im Browser zu geben, der @ erlau<0/script> (Ja, eine Null) als gültiges HTML.

AKTUALISIERE

Ich merke, dass ich einfach laufen kannhtmlspecialchars bei allen ausgegebenen Daten; Ich denke jedoch, dass es einfach einfacher (und akademisch besser) ist, meine Daten ein für alle Mal zu bereinigen, bevor sie in meiner Datenbank gespeichert werden, und dass ich mir dann jedes Mal Sorgen machen muss, da ich HTML überhaupt nicht zulassen möchte Ich gebe die Daten aus, ob die Daten sicher sind oder nicht.