Saya pikir menghapus tag HTML apa pun dari input akan memberi Anda sesuatu yang cukup aman -- kecuali jika seseorang menemukan cara untuk menyuntikkan beberapa data yang benar-benar kacau ke penurunan harga, membuatnya menghasilkan keluaran yang lebih kacau lagi ^^
Namun, inilah dua hal yang muncul di benak saya :
Yang pertama : strip_tags bukan fungsi ajaib :ia memiliki beberapa kekurangan...
Misalnya, ia akan menghapus semuanya setelah '<', dalam situasi seperti ini :
$str = "10 appels is <than 12 apples";
var_dump(strip_tags($str));
Output yang saya dapatkan adalah :
string '10 appels is ' (length=13)
Yang tidak begitu baik untuk pengguna Anda :-(
Yang kedua : Suatu hari nanti, Anda mungkin ingin mengizinkan beberapa tag/atribut HTML; atau, bahkan hari ini, Anda mungkin ingin memastikan bahwa Penurunan Harga tidak menghasilkan beberapa Tag/atribut HTML.
Anda mungkin tertarik dengan sesuatu seperti HTMLPurifier :memungkinkan Anda untuk menentukan tag dan atribut mana yang harus disimpan, dan memfilter string, sehingga hanya yang tersisa.
Itu juga menghasilkan kode HTML yang valid -- yang selalu bagus ;-)
