Treba mi neka sto sigurnija i sveobuhvatnija funkcija (ili funkcije) da propustim HTML kroz nju, a da ona obezbedi da one razne XSS fore ne mogu daprodju..

korisnici u principu ne smeju da direktno ukucavaju nikakav html, ja to sve prebacim u plain text, ali bih da sprecim i ona razna encodovanja javascripta kao hex brojeva, UTF-8 i slicne gluposti...

Ako ama baš nikakav html tag ne sme da prođe, mislim da će ti strip_tags (http://www.php.net/strip_tags) završiti posao.

Što se tiče nekih drugih rešenja, na pamet mi pada da napišeš neki SAX based XML parser pa da tako odradiš filter.

Ako ama baš nikakav html tag ne sme da prođe, mislim da će ti strip_tags (http://www.php.net/strip_tags) završiti posao.


nije meni frka od tagova koji izgledaju kao tagovi, tj. <nesto , ali postoji 2 miliona nacina da se to enkoduje tako da prodje pored mog regExpa (ili strip_tags), a da ga browser ipak prihvati kao tag, recimo ovo su ti neki od nacina da se enkoduje < tako da i dalje u browserima radi:

<
%3C
&lt
&lt;
&LT
&LT;
<
<
<
<
<
<
&#x3c
&#x03c
&#x003c
&#x0003c
&#x00003c
&#x000003c
&#x3c;
&#x03c;
&#x003c;
&#x0003c;
&#x00003c;
&#x000003c;
&#X3c
&#X03c
&#X003c
&#X0003c
&#X00003c
&#X000003c
&#X3c;
&#X03c;
&#X003c;
&#X0003c;
&#X00003c;
&#X000003c;
&#x3C
&#x03C
&#x003C
&#x0003C
&#x00003C
&#x000003C
&#x3C;
&#x03C;
&#x003C;
&#x0003C;
&#x00003C;
&#x000003C;
&#X3C
&#X03C
&#X003C
&#X0003C
&#X00003C
&#X000003C
&#X3C;
&#X03C;
&#X003C;
&#X0003C;
&#X00003C;
&#X000003C;
\x3c
\x3C
\u003c
\u003C

e sad ovo sam ja nasao na nekom hakerskom sajtu posle 5 minuta googlanja, a bog te pita koliko jos ima fora koje ne pisu na sajtovima... zato sam hteo neku gotovu funkciju koju je napisao neko ko o tome zna vise od mene...