Должен ли я использовать как striptags (), так и htmlspecialchars (), чтобы предотвратить XSS?

От этого зависит, будет ли вход печататься пользователю? В моем случае мне нужно вернуть данные обратно пользователю (комментарии и биография).

Благодаря!!!

Solutions Collecting From Web of "Должен ли я использовать как striptags (), так и htmlspecialchars (), чтобы предотвратить XSS?"

htmlspecialchars() достаточно, чтобы предотвратить XSS.

Стрип-теги удаляют теги, но не специальные символы типа " или ' , поэтому, если вы используете strip_tags() вам также нужно использовать htmlspecialchars() .

Если вы хотите, чтобы комментарии пользователей отображались так, как они набирали их, не используйте strip_tags, используйте только htmlspecialchars ().