безопасная фильтрация HTML с php?

Question

function validCleanHtml( $unclosedString )
{
    preg_match_all( "/<([^\/]\w*)>/", $closedString = $unclosedString, $tags );
    for ( $i = count( $tags[1] ) - 1; $i >= 0; $i-- )
    {
        $tag = $tags[1][$i];
        if ( substr_count( $closedString, "</$tag>" ) < substr_count( $closedString, "<$tag>" ) )
            $closedString .= "</$tag>";
    }
    $validTags = "<em><strong>";
    $validClosedString = strip_tags( $closedString, $validTags );
    return $validClosedString;

}

хорошо, я хочу включить 2 html, em и strong, это просто безопасно от xss? если нет, то как мы можем это обезопасить?

Answer 1

Вы смотрели на какие-либо существующие решения, такие как htmlpurifier ?Вы действительно не хотите писать свой собственный анализатор HTML - и, конечно, не с регулярными выражениями.

Answer 2

Я думаю, что strip_tags содержит ответ.

http://us2.php.net/strip_tags

Вместо включения определенных полей вы также можете удалить те, которые вам не нужны. А именно: link, style, script, iframe, frame