XSS預防，整潔vs淨化器？

我試圖防止使用CKEditor（JavaScript所見即所得的編輯器）輸入字段的XSS和不正確的HTML。

我應該如何在服務器端過濾這些數據？我比較的兩個選項是PHP Tidy和HTML Purifier。我對速度，安全性和有效嵌套感興趣。

編輯：

根據HTML過濾，整理並不能防止XSS。所以，讓我指定我將通過

strip_tags($input,'<img><a><li><ol><ul><b><br>');經過整理

2010-06-21 pws5068

HTML淨化器之前先通過用戶輸入的限制超越了strip_tags可以將輸入。 strip_tags不會從您允許的標籤的屬性中去除JavaScript。我絕對推薦使用HTML Purifier。 HTML Purifier並不快，但添加/編輯執行通常不如視圖頻繁，因此性能不是問題。

2010-07-06 20:34:32 Sonny

此外，HTML淨化器是一站式商店，所以你不需要將代碼傳遞給Tidy。 – Sonny 2010-07-14 19:05:16

剛剛發現這個比較，它提到'strip_tags'和Tidy。 http://htmlpurifier.org/comparison – Sonny 2010-07-14 19:08:10

回答