Пойдет ли strip_tags для фильтрации комментариев?

Question

[dev400]

Или есть что то более надежное?

Answer 1

[Алексей Скобкин]

Фильтровать ввод не обязательно. Нужно экранировать вывод.

Comments

[dev400]

а почему бы не обрезать начисто все теги? Если там разрешен просто текст

[Finesse]

dev400: потому что в тексте могут присутствовать треугольные скобки без цели создать HTML теги (например, чтобы сделать смайлик <-_->). Лучшего всего при выводе ничего не резать, а просто преобразовать в HTML с помощью htmlspecialchars.

Answer 2

[LBC]

Mysqli_real_escape_string для данных в базу, но всё-же советую использовать prepared statements.
На выводе можно юзать htmlspecialchars или htmlentities.

Но всё-же лучше всего будет whitelist и тэги через bb коды, а всё остальное в виде entities выводить.

Comments

[D']

bb коды еще страшнее чем просто разрешенные теги. Написать нормальный парсер bb кода довольно таки сложная задача.