strip_tag supprime uniquement les tags HTML, PHP et les null-bytes, donc tout dépend de ce que la donnée d'entrée est censée être.
Si ta donnée est censée être un texte (genre nom du joueur), et si ton stirp_tags est là pour éviter les injections dans la page HTML (genre echo "<strong>" . $user->name . "</strong>"), alors ce n'est pas la donnée d'entrée qu'il faut protéger, mais l'emplacement où elle est insérée: echo "<strong>" . htmlentities($user->name, 'utf-8') . "</strong>" (ou mieux: utiliser DOMDocument, générer un XML avec les données, et le passer dans une moulinette XSL, là, t'as rien à gérer niveau échappement/encodage).
D'ailleurs: tu gères comment, en strip_tag, le fait que $_GET['...'] n'existe peut-être tout simplement pas? via un array_key_exists() avant le strip_tags? filter_input le fait implicitement
Note: à la relecture, je me dis que peut-être tu récupères ton $_GET['...'] sans filtre, et qu'à l'insertion dans la page HTML, tu strip_tags. Pourquoi pas, ce n'est pas un soucis, d'une part, il faut savoir ce qu'il se passe si le $_GET['...'] n'existe pas, et d'autre part, il faudra bien être conscient que la donnée peut alors contenir absolument n'importe quoi, de n'importe quelle longueur.
Si ta donnée est censée être un texte (genre nom du joueur), et si ton stirp_tags est là pour éviter les injections dans la page HTML (genre echo "<strong>" . $user->name . "</strong>"), alors ce n'est pas la donnée d'entrée qu'il faut protéger, mais l'emplacement où elle est insérée: echo "<strong>" . htmlentities($user->name, 'utf-8') . "</strong>" (ou mieux: utiliser DOMDocument, générer un XML avec les données, et le passer dans une moulinette XSL, là, t'as rien à gérer niveau échappement/encodage).
D'ailleurs: tu gères comment, en strip_tag, le fait que $_GET['...'] n'existe peut-être tout simplement pas? via un array_key_exists() avant le strip_tags? filter_input le fait implicitement
Note: à la relecture, je me dis que peut-être tu récupères ton $_GET['...'] sans filtre, et qu'à l'insertion dans la page HTML, tu strip_tags. Pourquoi pas, ce n'est pas un soucis, d'une part, il faut savoir ce qu'il se passe si le $_GET['...'] n'existe pas, et d'autre part, il faudra bien être conscient que la donnée peut alors contenir absolument n'importe quoi, de n'importe quelle longueur.