salve,
Premetto che non sono sicuro di essere nel forum giusto
Volevo fare un form dove gli utenti (o meglio gli admin del mio sito, quindi persone fidate) possono inserire del testo ed utilizzare ogni tipo di tag HTML, però ovviamente volevo evitare che potessero inserire javascript possibilmente malevolo.
Così su due piedi mi viene in mente di sostituire tramite la funzione php preg_replace i tag
<script (.*)> (Ungreedy)
</script>
sostituendo i segni < e > per non essere riconosciuti come tag HTML
e tutti i tag conententi on (onClick eccetera...)
<(.*) on(click|keypress|....)="(.*)> (Ungreedy, case insensitive)
ci sono altri modi per inserire javascript o codice malevolo (senza contare attacchi CSRF camuffati da immagini...se c'è qualche malintenzionato che vuole farlo può farlo direttamente nel forum, ma perlomeno non può attaccare il mio sito) in un documento html da cui dovrei proteggermi?