使用 BBCodes...解析 HTML 还是完全删除它？ (XSS/PHP)

Question

我正在 PHP 中创建一个迷你论坛，我希望允许用户发布具有有限文本格式和嵌入图像的帖子，但我想安全地做到这一点（XSS 方面），我想知道下面的最佳方法是什么。

1) 从用户输入中去除所有 HTML 标签，并用 BBCode 替换所见即所得编辑器的控件。 strip_tags 足够吗？

2) 允许通过所见即所得的 HTML 输入，但使用解析器将输出从 HTML 转换为 BBCode。有人可以为此推荐一个安全的 BBCode 解析器吗？

任何其他想法都非常受欢迎。

Answer 1

您无需解析或剥离 HTML 即可确保安全。只需在打印之前通过 htmlspecialchars 运行所有内容，然后你很安全。

此外，这与使用 BBcode 是正交的。您可以让编辑器生成用于格式化的 BBcode，并且 htmlspecialchars 不会以任何方式干扰它。