【发布时间】:2011-09-16 09:03:05
【问题描述】:
我正在用 PHP 创建一个迷你论坛,我希望允许用户发布具有有限文本格式和嵌入图像的帖子,但我想安全地做到这一点(XSS-wise),我想知道什么是最优化的方法下面的。
1) 从用户输入中去除所有 HTML 标记,并将 WYSIWYG 编辑器的控件替换为 BBCode。 strip_tags 是否足够?
2) 允许通过所见即所得的 HTML 输入,但使用解析器将输出从 HTML 转换为 BBCode。谁能为此推荐一个安全的 BBCode 解析器?
欢迎任何其他想法。
【问题讨论】:
标签: php html xss wysiwyg bbcode