Impedir o XSS com strip_tags ()?
Eu tenho aplicativos web PHP. NÃO quero permitir que os usuários publiquem HTML no meu site.
Se eu simplesmente correrstrip_tags
() em todos os dados antes de salvar no meu banco de dados,strip_tags
() é suficiente para impedir o XSS?
Eu pergunto porque não está claro para mim a leitura dodocumentação de strip_tags se o XSS for impedido. Parece haver algum bug com o navegador permitindo<0/script>
(sim, zero) como HTML válido.
ATUALIZAR
Percebo que posso simplesmente correrhtmlspecialchars
em todos os dados emitidos; no entanto, meu pensamento é que - como eu não quero permitir HTML em primeiro lugar, é simplesmente mais fácil (e academicamente melhor) limpar meus dados de uma vez por todas, antes de salvar no meu banco de dados e ter que me preocupar sempre Eu produzo os dados se eles são seguros ou não.