Necesito visualizar código html a través de la función html_entity_decode(). El problema es que dicho código proviene de un editor WYSIWYG por parte del usuario existiendo la posibilidad de existir etiquetas script, style, import, ... y así producirse ataques XSS o CSRF.

Me pregunto si la mejor forma de evitar esto es limpiar el código ( eliminando tags maliciosas así como dando estilo a los tags -> style=' ' ) antes de introducirlo en la DDBB o limpiar el código cuando visulizamos el contenido en pantalla?

Un saludo

Jose