Witam
Piszę mały CMS o tematyce przyrodniczej. W Panelu Admina umieściłem edytor TINY MCE aby użytkownicy mogli dodawać swoje artykuły. Jednak po lekturze ostatniego numeru Komputer Świat EXPERT i artykułu o obronie przed atakami XSS okazało się że mój CMS jest na to zupełnie nie odporny. Poszukałem więc w internecie funkcję wycinającą zdefiniowane przeze mnie tagi jak np. DIV czy SCRIPT.
Funkcja wygląda tak:

[PHP] pobierz, plaintext 
<?php
function strip_selected_tags($str, $tags = "", $stripContent = false)
	{
		preg_match_all("/<([^>]+)>/i",$tags,$allTags,PREG_PATTERN_ORDER);
		foreach ($allTags[1] as $tag){
			if ($stripContent) {
				$str = preg_replace("/<".$tag."[^>]*>.*</".$tag.">/iU","",$str);
			}
			$str = preg_replace("/</?".$tag."[^>]*>/iU","",$str);
		}
		return $str;
	}
?>
[PHP] pobierz, plaintext 

Jednak po wycięciu tagów nadal zostaje tekst który był wpisany między nimi. Czy ktoś umiałby przerobić tą funkcję tak, żeby wycinać też ten tekst?

[PHP] pobierz, plaintext 
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> Other text';
echo strip_tags($text);
echo "n";
 
// Allow <p>
echo strip_tags($text, '<p>');
?>
 
Powyższy przykład wyświetli:
 
Test paragraph. Other text
<p>Test paragraph.</p> Other text
[PHP] pobierz, plaintext 

strip_tags

w komentarzu do funkcji jest

co oznacza ze przy stripContent = true, usuwa rowniez to co pomiedzy tagami.

Dzięki, gdybym troche lepiej znał angielski to pewnie sam bym to znalazł. Jest jednak nadal mały problem:
jeśli do listy usuwanych tagów wpiszę <script> to tag jest usunięty ale tekst pomiędzy nimi pozostaje. Przy innych jest OK.

mozesz podac przyklad?