Witam,
czy wrzucenie na początek skryptu:

[PHP] pobierz, plaintext 
$_GET = array_map('strip_tags', $_GET);
[PHP] pobierz, plaintext 

Jest wystarczającym sposobem na zabezpieczenie przed XSS z GETa?

teoretycznie, wsio zależy od późniejszego użycia zmiennych z geta

@beldzio no wlanie nie. ataki XSS nie operają sie tylko na wprowadzeniu znaczników. Mozna sie w zupelnosci bez nich obejsc.

No to co warto jeszcze dorzucić?

Jeśli zmienne mają być użyte w skrypcie, to addslashes, jeśli do zapytań do bazy to mysql_real_escape_string, zamiast strip_tags lepiej jest użyć htmlspecialchars. Oczywiście należy też filtrować zmienne GET w zależności od przeznaczenia, np. tylko liczby całkowite jeśli to ma być identyfikator czy numer strony.

Ale to nie zabezpieczy np. przed czymś takim:


Generalnie skupiłbym się na walidacji zmiennej przed jej docelowym uzyciem, np. w miejscu, gdzie zmienna id z $_GET ma byc użyta jako liczbowy identyfikator czegos tam, rzutować ją na INT-a, albo sprawdzać is_int() czy is_numeric().
Albo utworzyć whitelist'ę z dopuszczalnymi wartościami spodziewanego parametru i nie dopuścic do użycia zmiennej $_GET, której wartość nie znajduje się na tej liście.

Uniwersalna walidacja ma te wadę, że nie przewidzisz wszystkich możliwych wektorów ataku i nie jesteś w stanie wszystkiego odfiltrować. Większość tak, ale nie wszystko.

ależ oczywiście i dlatego też napisałem, że teoretycznie i wsio zależy od wykorzystania owych zmiennych