Безопасность пользовательских текстов. Как правильно выводить данные?

Question

[chelkaz]

Есть проект, где пользователи могут добавлять разные посты.
Как правильно сделать, что бы можно было вводить как и просто текста, так и код. Но что бы код был показан как код с минимальной подстветкой.
В плане безопасности как лучше?
Сейчас перед добавлением в базу я делаю так:
'text' => trim(htmlspecialchars($text)),
А вывожу так, что бы работали переносы строк:
В Laravel {!! !!} это означает что htmlspecialchars не используется при выводе.
{!! nl2br(e($post->text))!!}
Но сейчас я подумал, сделать как то так - Если в тексте есть теги, то подкладывать вывод с подстветкой например, если нет, то вывести как текст.
Я не часто сталкивался с выводом пользовательских данных. Какие есть нюансы?
Может есть готовые библиотеки для упрощения? Что бы например в простом тексте фильтровать дубли пробелов или табов или новых пустых строк, а если есть код в тексте, то оформлять его как код.

Answer 1

[Сергей Соколов]

Пусть пишут в Markdown-разметке и подключите какую-нибудь библитеку для рендера из md в html. Например, michelf/php-markdown.

Comments

[vyrkmod]

Не любят пользователи учить markdown. Предлагал тут "корреспондентам" себе же жизнь упростить, так нет, пусть лучше копипастнутая вёрска на сайте вылезает.

[chelkaz]

Большенство населения не знают как зарегистрироваться и как почту завести) Я уже на сайте и так все "До некуда" упрощаю, а Markdown это для них будет "Ад" те более у меня сайт для поселков и регионов рассчитан, и аудиторию за 40 лет.

Answer 2

[vyrkmod]

Вообще любой нормальный шаблонизатор экранирует вывод, в том же Twig'е приходится отдельно указывать что вот эту переменную надо вывести "сырой". Ну и вообще, шаблонизатор - просто полезная вещь.