Я планирую использовать синтаксис Markdown на моей веб-странице. Я буду держать пользователей в исходном состоянии (raw, no escaping или что-то еще) в базе данных, а затем, как обычно, распечатывать и выходить на лету с помощью htmlspecialchars () . Вот как это могло выглядеть: echo markdown(htmlspecialchars($content)); Делая это, я защищен от уязвимостей XSS и работает Markdown. […]
Я работаю над веб-приложением, которое позволяет пользователям вводить краткие описания элементов в каталоге. Я разрешаю Markdown в своих текстовых средах, чтобы пользователи могли создавать HTML-форматирование. Моя функция очистки текста удаляет все теги из любого введенного текста, прежде чем вставлять его в базу данных: public function sanitizeText($string, $allowedTags = "") { $string = strip_tags($string, $allowedTags); if(get_magic_quotes_gpc()) […]