php - безопасный способ обеспечить простой текст

Question

Самый безопасный способ запретить пользователям добавлять html или javascript в поле. Я добавляю описание описания стиля youtube, где пользователи могут объяснять свою работу, но я не хочу ничего, кроме простого текста, и не хочу, чтобы ни один из htmlentities, вроде «<» или «>».

Могу ли я сделать что-то вроде этого:

$clean = htmlentities($_POST['description']); 

if ($clean != $_POST['description']) ... then return the form with an error? 

Answer 1

Вы видели strip_tags?

Answer 2

strip_tags(), вероятно, будет лучшим выбором.

Вам не нужно проверять очищенный код и оригинал и выдавать ошибку. Пока он очищается, вы должны иметь возможность отображать его. Просто выбросьте исходный комментарий. Вы можете поместить заметку в текстовое поле, в котором говорится, что html не разрешен, если вы хотите сделать его более удобным для пользователя.

Answer 3

Использовать strip_tags() вместо htmlentities().
И метод в порядке.

Answer 4

Также не забывайте mysql_real_escape_string(), если вы храните данные в MySQL.

Answer 5

htmlspecialchars(), если используется должным образом (см. Комментарии), является самым безопасным способом обеспечения простого текста. Невозможно внедрить любой HTML или JavaScript, когда на выходе есть все специальные символы HTML, которые были экранированы. Если вы используете strip_tags, вы не сможете использовать полностью законных персонажей.