هل تكفي دالة strip_tags من حماية المدخلات ؟

الدالة strip_tags ليست كافية وحدها للحماية من ثغرة XSS، فيمكن تخطيها بسهولة كما شرح لك الأخ @billal-em.

من الأفضل انك تستعمل الدالة htmlentities.

وهناك أيضا شيء سيء جدا في الدالة strip_tags وهي انها تقوم مباشرة بحذف وسوم html التي توضع بين < و >، على عكس الدالة htmlentities التي تقوم بتحويلهم إلى نصوص غير قابلة للتنفيذ (Entities).

echo htmlentities ("<script>", ENT_QUOTES, "UTF-8");