Предотвращение XSS, Tidy vs Purifier?

Question

Привет,

Я пытаюсь предотвратить XSS и неправильный HTML-код из полей ввода с помощью CKEditor (редактор WYSIWYG javascript).

Как мне отфильтровать эти данные на стороне сервера? Я сравниваю два варианта: PHP Tidy и HTML Purifier. Я заинтересован в скорости, безопасности и правильном вложении.

Редактировать:

Согласно HTML Purifier, Tidy не предотвращает XSS. Итак, позвольте мне указать, что я бы сначала пропустил пользовательский ввод через

strip_tags($input,'<img><a><li><ol><ul><b><br>'); до перехода в Tidy

Answer 1

HTML-очиститель ограничивает входные данные сверх того, что может strip_tags.strip_tags не удалит JavaScript из атрибутов разрешенных вами тегов.Я определенно рекомендую использовать HTML Purifier.HTML Purifier не быстрый, но выполнение добавления / редактирования, как правило, происходит реже, чем просмотры, поэтому производительность является меньшей проблемой.