Предотвращение PHP XSS WhiteListing

Мой сайт использует редактор WYSIWYG для пользователей, чтобы обновлять свои учетные записи, вводить комментарии и отправлять личные сообщения.

Редактор (CKEditor) отлично подходит только для того, чтобы пользователи могли вводить правильный ввод, но я беспокоюсь о вводе через TamperData или другими способами.

Как я могу контролировать это на стороне сервера?

Мне нужно настроить белый список конкретных тегов: <b><ul><ol><a><img><br> будет ли это SAFE-подход для предотвращения XSS?

Использовать очиститель HTML :

HTML Purifier – это стандартная библиотека фильтров HTML, написанная на PHP. HTML-очиститель не только удалит весь вредоносный код (более известный как XSS) с тщательно проверенным, безопасным, но разрешенным белым списком.

strip_tags будет вашим другом. Второй параметр позволяет передать массив разрешенных тегов strip_tags