Есть ли известная XSS или другая атака, которая делает ее минус
$content = "some HTML code";
$content = strip_tags($content);
echo $content;
?
руководство имеет предупреждение:
Эта функция не изменяет никаких атрибутов в тегах, которые вы разрешаете использовать allowable_tags, включая атрибуты стиля и onmouseover, которые может оскорбительный пользователь может злоупотреблять при публикации текста, который будет показан другим пользователям.
но это связано только с параметром allowable_tags
.
Без установленных тегов, strip_tags()
уязвим для любой атаки?
Крис Шифлетт, кажется, говорит, что это безопасно:
Использовать зрелые решения
Когда это возможно, используйте зрелые существующие решения вместо того, чтобы пытаться создать свои собственные. Такие функции, как strip_tags() и htmlentities(), являются хорошим выбором.
Это правильно? Если возможно, укажите источники.
Я знаю про очиститель HTML, htmlspecialchars() и т.д. Я не ищет лучший метод для дезинфекции HTML. Я просто хочу знать об этой конкретной проблеме. Это теоретический вопрос, который возник здесь здесь.