Я хочу, чтобы мое приложение санировало HTML на входе, а не демонстрирующийся, так, чтобы поля, сохраненные в базу данных, были санированы.
Я делал это с strip_tags
, и это работало отлично. Однако это имеет оборотную сторону, что это означает, что пользователь не может ввести ничего, с чем это заключается в скобки <
и >
.
Как я могу сказать направляющим в модели надежно выходить из тегов прежде, чем сохранить их к базе данных? Я хотел бы не должным быть звонить h
на санированных полях снова перед использованием их в представлениях.
Один из вариантов - использовать плагин xss_terminate: http://code.google.com/p/xssterminate/
По умолчанию он удаляет все теги HTML из пользовательского ввода.