Laitan linkkiä tällaiseen postaukseen HTML "sanitointikirjastovertailusta", missä katsastetaan
1. PEAR’s HTML_Safe
2. htmLawed
3. WordPress’ Kses
4. HTMLPurifier

Kehitys on kehittynyt ja ajat muuttuneet, mutta onneksi HTMLPurifieriin voi edelleen luottaa :)

http://blog.astrumfutura.com/2010/09/zend-framework-proposal-zendhtmlfilter-html-sanitisation-and-manipulation/ (Sit kun tulee)

Tuo näyttää hyvältä, "vie vähän resursseja ja turvallinen". Tosin kaipaa varmaan vielä enemmän tarkastelua ennen kuin tuotantokäyttöön uskaltaa tuota ottaa. Saapa nähdä meneekö tuollaisenaan ZF2:een.
Gitistähän tuo löytyy https://github.com/padraic/wibble

Itse olen pultannut tuon HTMLPurifierin Zend_Filteriin.

Mitä tälläisillä tekee? Miksi ei voi kirjoittaa suoraan validia xhtml strictiä?

mist0r turkish hax0r Please write valid xhtml strict when u write sp4m comments to my blog, lol

Tuo validin xhtml:n kirjoittaminenhan ei tosiaan ole aina omista käsistä kiinni. Voi olla inhimillinen virhe, softan virhe ja ennen kaikkea vihamielisen käyttäjän vasarointi. Pääpainohan yleensä on juuri estää XSS-poraukset sun muut vastaavat haittakoodit.

Sitä voi tulla äkkiä se kuuluisa kusi sukkaan, jos päätät vaikka laajentaa kommentointimahdollisuuksia. Vaikka lisäämällä erilaisia muotoilumahdollisuuksia kommentointiin jne (mm. bb-code viritelmät). Sekään ei välttämättä riitä että validoit viestit niin että standardin mukaan turva-aukkoa ei jää, joku selain voi suorittaa siitä huolimatta vihamielistä koodia. Tuosta voi ylipäätään kehkeytyä sen verran sekava soppa että tämän takia parempi käyttää valmiiksi mietittyjä ratkaisuja.