Eu tenho aplicativos web PHP. NÃO quero permitir que os usuários publiquem HTML no meu site.

Se eu simplesmente correrstrip_tags() em todos os dados antes de salvar no meu banco de dados,strip_tags() é suficiente para impedir o XSS?

Eu pergunto porque não está claro para mim a leitura dodocumentação de strip_tags se o XSS for impedido. Parece haver algum bug com o navegador permitindo<0/script> (sim, zero) como HTML válido.

ATUALIZAR

Percebo que posso simplesmente correrhtmlspecialchars em todos os dados emitidos; no entanto, meu pensamento é que - como eu não quero permitir HTML em primeiro lugar, é simplesmente mais fácil (e academicamente melhor) limpar meus dados de uma vez por todas, antes de salvar no meu banco de dados e ter que me preocupar sempre Eu produzo os dados se eles são seguros ou não.