是否有已知的XSS或其他攻击使其超过了
$content = "some HTML code";
$content = strip_tags($content);
echo $content;
?
该手册有一个警告:
此函数不会修改允许使用allowable_tags的标记上的任何属性,包括恶意用户在发布将向其他用户显示的文本时可能滥用的样式和onmouseover属性.
但这与allowable_tags仅使用参数有关.
没有设置允许的标签,是否strip_tags()容易受到任何攻击?
Chris Shiflett似乎说这是安全的:
使用成熟解决方案
尽可能使用成熟的现有解决方案,而不是尝试创建自己的解决方案.像strip_tags()和htmlentities()这样的函数是不错的选择.
它是否正确?请尽可能引用来源.
我知道HTML净化器,htmlspecialchars()等.我不是在寻找消毒HTML的最佳方法.我只想知道这个具体问题.这是想出了一个理论性的问题在这里.