У меня есть система блога, и пользователь должен вводить содержимое в текстовую область html, включая теги html, такие как <p>
. Это сохраняется в базе данных. Если этот вход затем эхом передается на веб-страницу с использованием php, как я могу избежать вывода для защиты от XSS, но сохранить значение html-тегов, чтобы сообщение в блоге было отформатировано правильно? Если я использую htmlentities($blog_content)
, он буквально печатает теги html на странице, поэтому вы видите <p>hello this is a blog</p>
.Как я могу безопасно выводить содержимое, содержащее HTML-теги?
Возможно ли это?
Вы протестировали htmlentities()? –
Возможный дубликат [PHP XSS Prevention WhiteListing] (http://stackoverflow.com/questions/2992674/php-xss-prevention-whitelisting) – Quentin