На моей стороне клиента у меня есть богатая область текста, где пользователю разрешено вводить HTML. Затем, как на PHP, я гарантирую, что PHP безопасен. Есть ли какая-либо проверка в php для проверки HTML?
из безопасного я имею в виду, что HTML не содержит вредоносного кода
Прежде чем сохранить его, вы захотите очистить свой вход . http://htmlpurifier.org/ делает отличную работу и довольно легко реализовать и безумно настраивать.
Вы можете заглянуть в HTMLPurifier http://htmlpurifier.org/ , мне еще нужно его использовать, но я помню, как видел его на сайте http://www.zendcasts.com.
Вы также можете использовать Zend Framework Filter, например Zend_Filter_StripTags.
Вы можете удалить теги, которые не разрешены, используя strip_tags ();
<?php $allow = '<p><ul><li><b><strong>'; // Just an example $input = strip_tags($input,$allowedtags); ?>
Помимо этого рекомендуется использовать mysql_real_escape_string ($ input) или еще лучше, использовать: Является ли это безопасным способом фильтрации данных и предотвращения SQL-инъекций и других атак?