今日、ユーザー入力の処理に関する優れた質問と回答をいくつか読みました。現在、htmlspecialchars() を使用して作成/編集フォームにユーザー データを表示しています (ただし、準備された PDO ステートメントを介して生の入力をデータベースに受け入れています)。
私が知っている主な質問は、一般に表示される HTML をユーザーが送信できるようにするときに何をするかということです。明らかに htmlspecialchars() は、タグをエンコードしてコンテンツを無用にレンダリングするだけなので、もはや適切ではありません。
私のアプリケーションは現在、製品の説明のために管理者から HTML を受け入れています。これにより、悪意のある管理者が安全でない可能性のあるデータを公開ページに挿入できるようになります。
人々はこれにどのように対処しますか?