Da się całkowicie zabezpieczyć przed atakami XSS oraz SQL injection, filtrująć każdą zmienną GET i POST.

Przykładowo:

[PHP] pobierz, plaintext 
<?php
 
foreach ($_GET as $value) {
if ((eregi(&#092;"<[^>]*script*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*object*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*iframe*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*applet*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*meta*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*style*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*form*\"?[^>]*>\", $value)) ||
(eregi(&#092;"([^>]*\"?[^)]*)\", $value)) ||
(eregi(&#092;"\"\", $value)) ||
(eregi(&#092;"'\", $value)) ||
(eregi(&#092;"<[^>]*\", $value)) ||
(eregi(&#092;"[^>]>\", $value)) ||
(eregi(&#092;"*\", $value)) ||
(eregi(&#092;"[]]\", $value)) ||
(eregi(&#092;"select\", $value)) ||
(eregi(&#092;"0x73656c656374\", $value)) ||
(eregi(&#092;";\", $value)) ||
(eregi(&#092;"--\", $value)) ||
(eregi(&#092;"@\", $value)) ||
(eregi(&#092;"/\", $value)) ||
(eregi(&#092;"%\", $value))
)
{
..
}
}
 
foreach ($_POST as $value) {
if ((eregi(&#092;"<[^>]*script*\"?[^>]*>\", $value)) ||
(eregi(&#092;"<[^>]*style*\"?[^>]*>\", $value)))
{
..
}
}
 
?>
[PHP] pobierz, plaintext 

.

Jednak owo filtrowanie można ominąć w bardzo prosty sposób.
Podająć wartość $_GET jako: %3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E (XSS).

Jednak można jeszcze kilkoma technikami ominąć filtrowanie, stosująć kodowanie.

Problem: Jak się zabezpieczyć do granic możliwości przechodząć przez wszystkie zmienne $_GET i $_POST ?

[PHP] pobierz, plaintext 
<?php
foreach($_GET as $a => $b)
{
   $_GET[$a] = htmlspecialchars($b);
}
reset($_GET);
var_dump($_GET);
?>
[PHP] pobierz, plaintext 

cos takiego ?

to zależy do czego

do HTMLa - htmlspecialchars
do MySQLa - mysql_escape_string //inne bazy też mają odpowiednie funkcje

i tyle - nie ma lepszej rady...

I jeszcze intval" title="Zobacz w manualu PHP" target="_manual do wartości liczbowych.

Ale tego już było na forum sporo, poszukaj...