Я использую HTML Purifier, PHP-фильтр, защищающий от XSS и обеспечивающий вывод в соответствии со стандартами, для очистки / стандартизировать разметку, введенную пользователем.
Это пример разметки, введенной пользователем:
<font face="'Times New Roman', Times">TEST</font>
который генерирует:
<span style="font-family:"Times New Roman", Times;">TEST</span>
Я немного запутался, потому что "
даже не является escape-символом для одинарной кавычки. Какова наилучшая практика здесь, так как я собираюсь использовать этот пользовательский контент позже?
- Оставить как есть
- Замените все
"
на\'
после выполнения очистителя. - настройте очиститель HTML по-другому
- Что-то другое?