我有一个用户表单,用户可以在文章上发表评论。我需要允许用户输入的strong,em和span标签。我知道这可以通过strip_tags函数实现,但我也希望其他标签不被剥离,但可以使用say htmlspecialchars函数进行更改,以便可以在页面中看到标签。 我希望这是有道理的。
答案 0 :(得分:2)
Strip tags isn't safe。它允许像<strong onmouseover="alert('xss');">mouse over this lol</strong>这样的标签。使用HTMLPurifier
答案 1 :(得分:0)
我认为您要找的是找到here的prep_for_form验证规则。另外,您可能想要使用xss_clean。