Мисля, че премахването на всеки HTML маркер от входа ще ви осигури нещо доста сигурно - освен ако някой намери начин да инжектира някои наистина объркани данни в Markdown, като го накара да генерира още по-объркан изход ^^
И все пак ето две неща, които ми идват на ум:
Първият : strip_tags не е функция-чудо:тя има някои недостатъци...
Например, ще премахне всичко след '<', в ситуация като тази :
$str = "10 appels is <than 12 apples";
var_dump(strip_tags($str));
Резултатът, който получавам, е:
string '10 appels is ' (length=13)
Което не е толкова приятно за вашите потребители :-(
Вторият : Един или друг ден може да искате да разрешите някои HTML тагове/атрибути; или дори днес може да искате да сте сигурни, че Markdown не генерира някои HTML етикети/атрибути.
Може да се интересувате от нещо като HTMLPurifier :позволява ви да посочите кои тагове и атрибути да се съхраняват и филтрира низ, така че да останат само тези.
Той също така генерира валиден HTML код - което винаги е хубаво ;-)
