¿Es vulnerable a ataques convertir strings a enlaces?

Buenas. Estoy desarrollando un sistema de comentarios para una web. Si un usuario introduce un comentario con una URL dentro, tengo que poner esa URL como un link. No tengo problemas con esto, pero quiero saber si eso es vulnerable a ataques, especialmente XSS.

Las precauciones que tomo por defecto para cualquier comentario a guardar en la BD son usar las funciones php strip_tags, htmlentities y mysqli_real_escape_string.

Gracias!

Pues sí, claro que una URL puede provocar problemas XSS/CSRF, así que siempre deberías sanitizar tus datos.

Jamás confíes en los datos de un usuario, grábatelo.

¿Y cómo lo hago? Te explico lo que hago y si puedes decirme qué modificar te lo agradecería!

Cuando un usuario hace un comentario lo guardo en la BD pasandole strip_tags, htmlentities y mysqli_real_escape_string. Luego, cuando lo tengo que mostrar, utilizo esto para generar los links:


Luego, si el usuario quiere editar su comentario, lo que muestro es el comentario original guardado en la BD.

No tengo mucha idea de seguridad web y no sé de qué forma podría ser vulnerable esta forma de hacerlo.

Gracias por anticipado

facil y sencillo para evitar que "inyecte" html al enlace usa strip_tags de php y por cualquiercosa elimina las < y > en los enlaces, creo que con eso deberia bastar, recuerda que tambien existe "html encode" que < puede equivaler a &%54; por así decirlo

Eso ya lo hago. Uso strip_tags para filtrar las etiquetas html que pueda haber introducido el usuario antes de guardar en la BD. Para las comillas simples y dobles, mysqli_real_escape_string.

Lo que no sé es si el usuario incluye una URL maliciosa, al sacarla como enlace puede haber problemas