Всем привет!
Хотелось бы узнать о том, как лучше сделать фильтрацию полей форм, в которые пользователи вводят информацию. Я в курсе о таких валидаторах, как "email", "url", "numerical" и т.д., но бывают поля типа "text/textfield", куда пользователь теоретически может ввести все что угодно (включая html-теги).
Например, без фильтрации пользователь может ввести в поле “Фамилия” что-нибудь вроде “</div>”, тогда на тех страницах, где отображается его фамилия будет ломаться дизайн (там и до xss недалеко)
Можно, конечно, использовать htmlspecialchars при выводе, или использовать регулярные выражения для очистки от подобного перед записью в БД, но, кажется, что есть и другие более удобные варианты, особенно учитывая, что форм всяких разных в приложении будет много.
Надеюсь получить от вас какие-то советы в этой области, кто и как решает данную проблему?
Спасибо!