Nota: Me encargo de la inyección de SQL y de la salida que se escapa a otra parte. Esta pregunta es solo sobre el filtrado de entrada, gracias.

Estoy en medio de refactorizar mis funciones de filtrado de entrada de usuario. Antes de pasar el parámetro GET / POST a un filtro específico de tipo confilter_var () Hago lo siguiente:

verifique la codificación del parámetro conmb_detect_encoding ()convertir a UTF-8 coniconv () (con // IGNORE) si no es ASCII o UTF-8limpiar espacios en blanco conuna función encontrada en GnuCitizen.orgpasar el resultado a través destrip_tags () - no se permiten etiquetas, solo Markdown

Ahora la pregunta: ¿todavía tiene sentido pasar el parámetro a un filtro comohtmLawed oPurificador HTML, ¿o puedo pensar en la entrada como segura? Me parece que estos dos difieren principalmente en la granularidad de los elementos y atributos HTML permitidos (que no me interesan, ya que elimino todo), pero los documentos htmLawed tienen una sección sobre 'personajes peligrosos'eso sugiere que podría haber una razón para usarlo. En este caso, ¿cuál sería una configuración sensata?