问候，

我正在尝试使用 CKEditor(一个 javascript WYSIWYG 编辑器)防止输入字段中的 XSS 和不正确的 html。

我应该如何在服务器端过滤这些数据？我比较的两个选项是 PHP Tidy 和 HTML Purifier。我对速度、安全性和有效嵌套感兴趣。

编辑:

根据 HTML Purifier 的说法，Tidy 不会阻止 XSS。所以，让我指定我将首先通过用户输入

传递给 Tidy 之前的 strip_tags($input,'<img><a><li><ol><ul><b><br>');

HTML Purifier 限制输入超出 strip_tags 的范围。 strip_tags 不会从您允许的标签属性中剥离 JavaScript。我绝对推荐使用 HTML Purifier。 HTML Purifier 并不快，但添加/编辑执行的频率通常低于 View ，因此性能问题不大。