Witam, szukam jakiejś sensownej gotowej klasy do filtrowania danych z formularza. Dane mają zawierać niektóre znaczniki HTML. Najlepiej byłoby żeby klasa filtrowała po tagach i usuwała niedozwolone atrybuty.
Znalazłem coś takiego: PHP Input Filter ale może znacie coś lepszego?

Temat: SQL Injection Insertion

Niestety Twoja odpowiedź nijak ma się do mojego pytania. Wątek dotyczy SQL injection a ja nigdzie nie napisałem, że chcę cokolwiek robić z bazą danych a tym bardziej cokolwiek do niej dodawać. O XSS są tam ze 3 posty, z czego w jednym z nich jest napisane o strip_tags, co odpada z tego względu, że u mnie musi pozostać kod HTML. Pytałem o klasy czy funkcje do oczyszczania kodu z niektórych znaczników HTML i o opinie na temat wskazanej przeze mnie klasy.

Znalazłem HTML Purifier. Co prawda straszna krowa ale może będzie sprawnie działała.

Dałem Ci tego linka, ponieważ jest tam wiele informacji właśnie o tym jak zabezpieczyć się przed kodem html w formularzach.

BTW. strip_tags wygląda tak: string strip_tags ( string $str [, string $allowable_tags ] )

Możesz podać tagi, które mają się zostać w kodzie.

BTW.2. W komnentarzach w manualu do strip_tags jest parę funkcji czyszczących.

Chyba się nie zrozumieliśmy. Wiem jak wyciąć cały html, to nie stanowi praktycznie żadnego problemu. Strip_tags też nie jest rewelacyjne, bo dozwolonych tagów nie filtruje pod kątem niepożądanych atrybutów i możliwe jest wsadzenie wszystkich onMouseOver, onclick itd.
Funkcje z komentarza do strip_tags faktycznie ciekawe, przejrzę je, choć i tak raczej zdecyduję się na htmlpurifier