Форум PHP

Хочу разрешить пользователям использовать некоторые теги HTML кода:

<img src="" alt="" title="" border="" />  <font color="" size=""></font>  заголовки от <h1> до <h6>  <a href="" title=""></a>  <b></b> и <strong></strong>  <i></i> и <em></em>  <u></u>  <s></s> и <strike></strike>  <hr />  <br />  <p></p>  <blockquote></blockquote>  <ul></ul>  <ol></ol>  <li></li>  <table></table>  <td></td>  <th></th>  <tr></tr>  <nobr></nobr>  <sup></sup>  <abbr></abbr>  <acronym></acronym>  <pre></pre>  <code></code>

Как сделать так, чтобы это было безопасно? Чем обработать?

Картинки и ссылки очень нужны? Особенно картинки - самый, так сказать, рассадник XSS=)

Значения атрибутов (href, src, alt, title, border, color, size) должны пропускаться через htmlspecialchars, чтобы не допустить HTML-инъекции.

a href и img src должно уводить только на выбранные схемы https://, http://, ftp://, news://, mailto: ... (иначе возможно исполнение javascript-кода), либо на локальные относительные ссылки(см. ниже), либо на адреса привдимые к таким ссылкам.

Кроме того a href и img src должны уводить либо наружу (т.е. на сервер, отличный от текущего адреса хоста и его алиасов) либо (в том числе и при локальных относительных ссылках) в каталоги, выборка из которых скриптовых и скриптсодержащих типов документов (в т.ч. и html) жестко заблокирована средствами .htaccess - для предотвращения XSS-атак.

То есть нужно разобрать рег. вырами, а потом обработать htmlspecialchars()?

А готовых функций для обработки сего, не кто не встречал? Или я первый, кому это понадобилось?

Нет. Не "то есть". этим Вы обеспечите лишь первый абзац требований.

Внешние img src стоит вообще запретить. Лучше пожертвовать десяток мегабайт дисковой квоты на пользовательские изображения, чем разгребать последствия XSS. Ну, если речь, конечно, не идет о сайте фотолюбителей=)

Вообщем нашел библеотеку хорошую, если кому пригодится, берите http://pixel-apes.com/safehtml/?page=safehtml