Я ищу способ или функцию, которая позволила бы мне отображать данные из моей базы данных mySQL. Пользователям разрешено публиковать статьи, которые я использую mysql_real_escape_string, чтобы избежать SQL-инъекций, прежде чем вставлять свои записи в БД.
Для целей тестирования я пишу в текстовой области свое сообщение с тегами типа <b> <a> <i> <li>.
Позже я буду использовать такой редактор, как этот, здесь, в Stackoverflow, чтобы помочь пользователям с их сообщениями.
Тем не менее, я знаю о XSS, и простое эхо-сигнал прямо из БД может привести к атакам XSS. Итак, я выбрал для своих тестов вывод содержимого с htmlentities или htmlspecialchars. Никто из них не покажет мне сообщение правильно с HTML.
Поэтому я использовал стрип-тэги, но насколько я знаю и читал, это небезопасно.
Какую функцию вы также можете использовать, которая позволит мне правильно выводить данные, просто как this и предотвращать XSS?