Предотвратить XSS, но разрешить все символы?

Question

Как я могу предотвратить XSS, но разрешить использование любых символов? Как я могу опубликовать HTML-код на форуме, например <html><body><h1>Test</h1></html>, но он не будет отображаться в браузере как HTML? Как я могу сделать это, чтобы он не конвертировал символы в PHP?

Answer 1

Передайте строку через функцию htmlspecialchars():

// Outputs HTML as literal characters
echo htmlspecialchars('<html><body><h1>Test</h1></html>');

Answer 2

Интересный подход: DOM + Tidy - Источник

Answer 3

Вы можете сделать строку безопасной для вывода с помощью htmlentities или htmlspecialchars .htmlentities более тщательный, поскольку он кодирует все сущности, тогда как htrmlspecialchars преобразует только скобки, кавычки и символы амперсанда.

Например, он меняет < на <, который отображается браузером какСимвол <вместо символа интерпретируется как начало тега HTML. </p>