Cześć!
Temat w sumie nie dotyczy tylko Yii.
Jak radzić sobie z XSS (w polach od użytkownika oczekiwany jest zwykły tekst). W beforeSave() usuwać tagi html (strip_tags) i dodawać encje (CHtml::encode)? Czy zezwalać na wpisywanie do bazy dowolnych rzeczy a tylko przed wyświetleniem stosować CHtml::encode? Czy jeszcze inne rozwiązanie stosować?
Pełna wersja: [Yii] Zapobieganie przed XSS
Do bazy zapisujesz wszystko a CHtml::encode() przy wyświetlaniu
Dziękuje za odpowiedź, jakieś inne opinie na ten temat? 
A jaki ma sens zapisywanie wszystkiego w bazie? Ja bym wolała wyczyścić tekst raz przed zapisem niż wielokrotnie przed wyświetlaniem.
Bo możesz potrzebować oryginalny tekst. A większość systemów szablonów (porządnych) przy wyświetlaniu robi czyszczenie.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.