Estoy escribiendo una función de análisis de comentarios en PHP.¿Por qué debería usar BBCode pero no HTML en formularios de comentarios?
Dado que BBCode no es un lenguaje de marcado real, nunca me ha gustado el estilo de escritura.
Así les doy a los visitantes la posibilidad de usar código HTML básico en formularios de comentarios.
Y al publicar, PHP verificará las etiquetas/atributos no permitidos y no válidos, y los reemplazará o eliminará.
Creo que hace el mismo trabajo y la salida es exactamente la misma que con BBCode.
Si esto es cierto, ¿por qué hay BBCode? ¿BBcode tiene alguna ventaja sobre HTML?
actualización
como monocromo respondió
Si está seguro de que su filtro HTML es lo suficientemente seguro, que debe estar bien aunque
así, no estoy seguro de la escritura el filtro mismo, pero hay algunos filtros mejor valorados como PHP Analizador DOM simple HTML, HTML Purifier, htmLawed ...
The BBCode está desarrollado por UBB y aún se usa ampliamente, como phpBB.
¿Los desarrolladores de UBB/phpBB no están seguros de sus habilidades para escribir un filtro HTML perfecto? (Supongo que no)
Además, al igual que el Markdown que utiliza StackOverflow ... si HTML + Parser hace el trabajo, ¿por qué inventar otro "idioma" de todos modos? (excepto para guardar algunos bits ...)
Markdown es el nuevo marcado. – BoltClock
Creo que el marcado HTML es bastante fácil de explotar y su cheque es una solución alternativa. Los hackers pueden ser bastante ingeniosos cuando se trata de encontrar agujeros de seguridad;) – knittl
@knittl Así que esto es sobre mí/hackers de PHP VS. Bueno, tal vez debería haber agregado "SI ... mi sistema de análisis está BIEN/ESTRICTAMENTE escrito". Realmente me gustaría ver un ejemplo de pirateo contra un formulario html-allowed-comment-form. – Jon