php - htmlentities または htmlspecialchars または stripslashes? どちらを使用しますか？

Question

ユーザー入力データを mysql データベースに挿入すると、mysql_real_escape_string. 入力データには bbcode が含まれています[img][/img]。

以下は、htmlが出力されるときの行です。

    $information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
   echo $information;

この例に関して、これは XSS 攻撃を防ぐ正しい方法ですか、それとも使用しますhtmlspecialchars($var,ENT_QUOTES)かhtmlentities?

Answer 1

htmlspecialchars()XSS 攻撃を防ぐために使用する

Answer 2

$message = preg_replace('#\[img\](.*?)\[/img\]#', '<img src="$1" />', $message);  

XSS 攻撃を防ぐ