我正在用 PHP 构建一个模板工具,我希望允许用户将 html/css 内容输入到表单 textareas 中。目前我正在运行:
Strip_Tags(只允许基本的 html 和样式标签)
然后:
htmlentities
然后:
htmlspecialchars_decode(<br>
例如从允许的标签转换回来)
我的表单操作使用该htmlentities($_SERVER['PHP_SELF'])
方法。
关于保护此工具以进行在线消费还需要什么建议?我是否需要验证,如果需要,用什么过滤器?是否有某些恶意代码我也应该删除?
根据所需的输入(仅限 html/css),是否有最佳实践?我(目前)不使用数据库,但如果我需要扩大规模,我会喜欢一个伞式解决方案。
谢谢