Я использую HTMLPurifier для предотвращения атаки xss.
Я заметил, что HTMLPurifier не очищает следующий фрагмент кода
1" onmouseover=prompt(917593) bad="
Когда я использую htmlspecialchars ($ value, ENT_QUOTES, 'UTF-8'); проблема решена. Скрипт не работает.
Однако я не могу использовать htmlspecialchars везде, потому что я использовал texteditor.
Пользователи вводят контент html base и если я использую htmlspecialchars, все разбрасывается.
Мне нужно санировать при получении параметра, я не могу использовать htmlspecialchars для вывода.
Что я могу сделать?