Как правильно реализовать BBCode?
Первое что приходит на ум:
1. На сервер приходит строка вида [b]текст[/b]
2. Мы заменяем теги [b] на <strong>
3. Выводим {!! $text !!}
Но тогда человек сможет вместо обычной строки, отправить html со своими тегами, и использовать теги которые не должен, + можно использовать XSS, как от этого защититься?
UPD: нашел такой способ: вначале удалить html теги через strip_tags, безопасно ли это будет, и как еше защититься от XSS в таком случае?
В том и идея BBCode, что текст хранится и редактируется с ними, а отображается с html тегами.
По этому можно создать функцию хэлпер для преобразования.
