Альтернатива HTML_Safe

[Solid]

Альтернатива HTML_Safe

Может быть, кто-нибудь знает альтернативу PEAR пакету HTML_Safe.
Не очень нравится, тем, что зависит от PEAR'овского SAX3... да и тормозит неимоверно.
Мне бы чего попроще.
Требуется объявить:

• allow elements
• allow attributes in elements

Все остальные теги с их аттбибутами должны быть конвертированны (из - в):

• < - &lt;
• > - &gt;
• & - &amp;
• " - &quot;
• ' - &apos;

 

[STALK3R]

Присоединяюсь к вопросу, у самого такая проблема. Мне надо таким обрахом обработать данные от wysiwyg по принципу "всё, что не разрешено - запрещено", а не как в PEAR::HTMLsafe "всё, что не запрещено - разрешено".

 

[Solid]

STALK3R
Я уже сам написал. Получился небольшой класс, на 2кб.

 

[STALK3R]

А можно взглянуть?

 

[Solid]

http://dmitry.eu/files/php/class.xhtmlscrubber.phps

 

[STALK3R]

спасибо

 

[Яро]

А "дыры" то, кстати, вполне себе не фильтруется.

 

[Wicked]

Solid
<img src="javascript:alert(1);" />
пропускается и в IE показывает alert-окно.

 

[Solid]

Wicked
Спасибо!

Обновления в v0.2:
* Защита от XSS.
* Немного изменена передача разрешённых тегов. Теперь, если у тега нет разрешённых атрибутов, указывать к ключу null не обязательно, можно обойтись обычным значением без ключа. Т.е. раньше было:

new XHTMLScrubber(array('b'=>null, 'i'=>null));

Теперь стало:

new XHTMLScrubber(array('b', 'i'));