Это хороший способ удалить Script, Onmouseover, onerror и onload с помощью php

Question

Я делаю это.Кажется, работает, но так ли это лучше?Например, могут ли люди по-прежнему публиковать XSS-код или все это нужно ловить?

$pattern[0] = '/script/'; 
$pattern[1] = '/onmouseover/'; 
$pattern[2] = '/onerror/';
$pattern[3] = '/onload/';
$replacement[0] = 'scr<b></b>ipt'; 
$replacement[1] = 'onmouse<b></b>over'; 
$replacement[2] = 'on<b></b>error'; 
$replacement[2] = 'on<b></b>load';

Answer 1

Для очистки пользовательского HTML-контента я бы предпочел воспользоваться услугами существующей активно поддерживаемой библиотеки, такой как HTML Purifier :

HTML Purifier - это стандартсовместимая библиотека HTML-фильтров, написанная на PHP.HTML Purifier не только удалит весь вредоносный код (более известный как XSS) с тщательно проверенным, безопасным, но разрешающим белым списком, но также обеспечит соответствие ваших документов стандартам, чего можно добиться только при полном знании спецификаций W3C.