PHP XSS预防白名单

我的网站使用所见即所得编辑器，用户可以更新帐户、输入评论和发送私人消息

编辑器（CKEditor）非常适合只允许用户输入有效的输入，但我担心通过篡改数据或其他方式进行注入

我如何在服务器端控制它

---

我需要将特定的标签列入白名单：

，这是防止XSS的安全方法吗？

strip\u标签将成为您的朋友。第二个参数允许您传入允许的标记数组

使用：

HTML净化器是符合标准的 用PHP编写的HTML过滤器库。 HTML净化器不仅会删除所有 恶意代码（更好地称为XSS） 经过彻底审核，安全无虞 允许的白名单

---

与我自己的白名单中的strip_标签相比，这样做有什么优势吗？事实上，我在这里找到了我的答案：谢谢你的帮助。第二个参数不安全，因为它不会删除属性。有人仍然可以利用安全元素上的属性进行攻击，例如，

。您认为该人将如何为evil\u script注入代码？