textarea et faille xss

tu peux faire avec un array par exemple :

Code:

---

1 2 3

$allowable_tags = array('abbr', 'acronym', 'a'); $list = '<' . implode('><', $allowable_tags) . '>'; return strip_tags($text, $list);

---

ou direct avec les < > dans la liste avec un implode vide

+1 avec stealth35

le strip tags te permet un contrôle bien plus précis.

Car en plus des soucis xss si tu permets de saisir directement de l'html tu as comme indiqué les risques de balises html ou autre qui sont gênantes.

Mais tu as aussi les personnes qui mettront du code non valide ou problématique (div non fermée ou div en absolue) et qui vont complètement pourrir ta mise en page.

Personnellement je limite au max les types de tags autorisé pour éviter tout ça et si je veut laisser plus de liberté a l'utilisateur je passe par un tinymce en forcant l'envoie de code html valide voir dans certains cas un encodage en bbcode pour garder le contrôle ensuite dans mon code.