注意:我在其他地方处理SQL注入和输出转义 - 这个问题仅涉及输入过滤,谢谢.
我正在重构我的用户输入过滤功能.在使用filter_var()将GET/POST参数传递给特定于类型的过滤器之前,我执行以下操作:
现在的问题是:将参数传递给像htmLawed或HTML Purifier这样的过滤器仍然有意义,还是我认为输入是安全的?在我看来,这两者主要区别于允许的HTML元素和属性的粒度(我不感兴趣,因为我删除了所有内容),但是htmLawed文档有一个关于" 危险字符 "的部分,表明可能存在使用它的原因.在这种情况下,它会是一个理智的配置吗?