防范 xss 使用 htmlspecialchars 够了吗？

我认为输入前不用处理（但要注意sql注入），输出前才去处理这样比较好，wp就是这样的。
（貌似我很多回答都拿 WP 做盾牌：D)

@kmvan 谢谢你的回复。

也就是说数据库中就原样存储用户的输入数据，然后在输出前进行处理？

输入输出前处理有何区别呢 ？

要这么容易，还需要防XSS？

直接输出应该不会有问题吧

@invite 说点有质量的观点比较有意义。

防xss难点是富文本编辑器。

htmlspecialchars一般只能防范非富文本的内容
要是用了ueditor,tinyMCE之类的富文本编辑器,直接过滤html标签与<>这些敏感字符是不行的,php过滤富文本的库个人推荐htmlpurifier,但是针对富文本的过滤一般比较占用资源,建议入库前过滤

@shuimugan 非常感谢！

DOM XSS 有无了解？

@Ryans 谢谢 我去了解下

我的理解是，XSS本质上是输出点存在恶意脚本，输入什么是不用管的，输出点做好敏感字符过滤就可以了。再有，输入时做过滤的话，存到数据库里信息已经有损的了。。。

@zomco 谢谢你！

我也是认为输入做过滤的话会对信息有损，但是我又考虑到性能，输入只做一次处理就够了，以后显示信息就可以无脑输出，但是把过滤放到输出来处理的话，则每次输出都要处理一次，感觉对性能会有损。