От этого зависит, будет ли вход печататься пользователю? В моем случае мне нужно вернуть данные обратно пользователю (комментарии и биография).
Благодаря!!!
htmlspecialchars()
достаточно, чтобы предотвратить XSS.
Стрип-теги удаляют теги, но не специальные символы типа "
или '
, поэтому, если вы используете strip_tags()
вам также нужно использовать htmlspecialchars()
.
Если вы хотите, чтобы комментарии пользователей отображались так, как они набирали их, не используйте strip_tags, используйте только htmlspecialchars ().