Защита от XSS (накратко

Първо искам да подчертая, че урока е дело на
Elven`\Elfinity (бивш ”колега”). Леко съм коригирал статийката, за да
бъде малко по-разбираема.

Да започнем с това – какво е XSS. XSS се превежда като (X)Cross Site Scripting (Междусайтово Скриптиране).
Тоест : имаме сайт, в него използваме функцията $_GET['name'], и то се print()-ва в RAW форма. Тогава, сайта ни е уязвим към XSS атаки. Повече за XSS атаките и как те работят, можете да научите от това видео на Иван Ванков.

Как да се защитим от XSS ? Параметрите като $_POST[]/$_GET[] могат да се филтрират с помоща на функцията htmlspecialchars() . Например, нашият код съдържа , то всичко което съдържа знаците <,>,’,”,& ще бъде заменяно с <,>,’,",& .

Това ще ни обазопаси достатъчно срещу такъв вид атаки.

Вижте и тази статия в блога на Иван Ванков, там има по-подробно обяснение и по-добри методи за защита от XSS атаки : http://gatakka.eu/?p=540