Dudas con strip_tags, htmlentities y htmlspecialchars.

Buenas.
Recien estoy empezando con el tema de darle seguridad al sitio y hay cosas q todavia me cuestan.
Empece con el tema de xss, filtrando las variables q recogen los datos de areas de texto (comentarios) y bueno, al ser novato en este tema, se generan muchas confusiones. Primero porq hay mucho material dando vuelta y segundo porq entro a un sitio donde aconsejan usar un metodo, entro a otro y aconsejan otro y eso a un novato lo enloquece.

Entonces lo q en la mayoria se repite como metodo, son las siguientes funciones:

-strip_tags(): para eliminar toda etiqueta html.

-htmlspecialchars(): q a mi entender se usa para convertir caracteres que se usan para trabajar con HTML.

-htmlentities(): q a mi entender "traduce" aquellos caracteres q tengan un equivalente a HTML.

Entonces se genera la gran pregunta: cual de todas esas funciones usar?

-probe con strip_tags y funciona re bien, pero esta funcion me afectaria si yo quiero usar bbcode?

-con htmlentities tambien probe, lo q pasa q me devuelve exactamente lo q se registra en la bd, si yo pongo <script>alert("hola")</script> o <h1>hola</h1> aparece tal cual y queda desagradable esteticamente.

Bueno, les agradeceria q me despejen esas dudas y asi poder continuar.

Saludos.

Strip_tags la puedes usar si quieres que ningun código HTML pueda estar presente en esos comentarios que tu dices, en otras ocasiones si queremos que haya html, para eso se usa htmlentities, ya que de esta forma el html quedará visible pero no actuara como código si pones <script></script>.

htmlspecialchars y htmlentities hacen lo mismo, pero htmlentities traduce más cosas que htmlspecialchars.

Otra cosa que se te ha olvidado es el uso de addslashes y stripslashes para evitar SQL inyection, lo que hace addslashes es añadir la barra de escape a las comillas, evitando así SQL Inyection, te recomendaría que leyeses algo sobre SQL inyection ya que también esta muy extendido.

Un saludo

Buenas, primero q nada gracias.

-con repecto a htmlentities: se puede evitar q salgan las etiquetas html?, como dije anteriormente, si alguien quiere molestar poniendo <h1>hola</h1>por ejemplo, se puede hacer q solamente salga el hola?

-con respecto a addslashes y a mysql_real_escape_string: todavia estoy leyendo pero primero quiero terminar de entender como trabaja lo anterior para evitar ataques xss.

Lo que quieres hacer se hace con strip_tags, y si después hay alguna etiqueta que quieres permitir solo la tienes que indicar en su segundo parámetro.


Un saludo

Ok, gracias.