我在我的网站上添加了一个简单的所见即所得编辑器. (它只允许B / I / U – 不再)
我目前将所有内容存储为我的数据库中的html – 但是atm很容易添加< a onclick ='...'>或其他恶意代码)
我目前将所有内容存储为我的数据库中的html – 但是atm很容易添加< a onclick ='...'>或其他恶意代码)
HTMLPurifier
我只是把它扔到那里,可能会得到不可避免的抨击.我不会使用strip_tags来保证你的WYSIWYG表格……永远(除非你想惹恼你的用户).
它不会保护您的表单,您可能会破坏用户的体验.
Chris Shiftlett在他的博客文章中写了一篇优秀的段落
I detest commenting on blogs where my comment is passed through something like strip_tags(),effectively mangling what I’m trying to say. It reminds me of using an IM client that tries to identify smilies and replace them with images,often making responses difficult to decipher.
另一个原因
另一个答案中的其他人也写了这个我喜欢的:
$str = "10 appels is <than 12 apples"; var_dump(strip_tags($str));
我得到的输出是:
string '10 appels is ' (length=13)
我个人不会使用HTMLPurifier以外的任何东西
HTMLPurifier
试试这里的演示:http://htmlpurifier.org/demo.php
看看这个similar question