我正在使用HTML净化器保护我的应用程序免受XSS攻击。目前我正在从WYSIWYG编辑器中净化内容，因为这是唯一允许用户使用XHTML标记的地方。
我的问题是，我应该在登录认证系统的用户名和密码上（或者在注册页面的输入字段上，如电子邮件、姓名、地址等）使用HTML净化器吗？有没有可能发生XSS攻击？

你应该净化任何可能出现在页面上的东西。因为有了XSS攻击，黑客会放置<script>标签或其他可以链接到其他站点的恶意标签。
密码和电子邮件应该没问题。永远不应该显示密码，电子邮件应该有自己的验证器，以确保它们的格式正确。
最后，始终记住在内容上放入htmlEntities（）。
哦。。也可以看一下filter_var过滤变量的好方法。