Zitat:
Zitat von Thomas H.
htmlspecialchairs schützt ausreichend vor SQL Injections & XSS, oder irre ich mich da?
|
Ja.
Gegen SQL Injektionen hilft das:
http://de2.php.net/mysql_real_escape_string
XSS:
siehe
http://de.wikipedia.org/wiki/XSS
Zitat:
Besser ist es daher, die „guten“ Eingaben exakt zu definieren (Weiße Liste) und nur solche Eingaben zuzulassen.
|
Es ist ratsam, im Formular HTML als Eingabe zu verbieten und auszuknipsen:
http://de2.php.net/strip_tags
Und zwar komplett, um so auch "inline Javascripte" auszuschließen.