Apsisaugojimas nuo XSS

Laba diena,

gal ka nors galėtų patalpinti apsisaugojimo nuo XSS atakų pavyzdžių.

Iš anksto dėkoju.

Ar šitie tinka?

Pirmas variantas

htmlspecialchars ( "<a href='test'>Test</a>" , ENT_QUOTES );

Antras variantas

htmlentities($str, ENT_QUOTES);

Juos reikia naudoti kartu, ar galima pasirinkti tik vieną.

Kuris variantas geresnis?

htmlentities koduoją viską, htmlspecialchars koduoja tik "specialius simbolius". Šiaip viskas dokumentacijoj parašyta, pvz. čia http://lt1.php.net/htmlentities

http://stackoverflow.com/questions/1336776/xss-filtering-function-in-php

Strip tags yra negerai, jei nori, pvz., lankytojui leisti rašyti html kodą, kuris būtų atvaizduojamas kaip tekstas. Kodo pavyzdžiai kad ir :)

O šiaip – htmlspecialchars.

Dėkui, naudosiu htmlspecialchars.