Witam,
ku końcowi dobiega najbardziej skomplikowany (choć dla wprawionego php-owca jest absolutnie banalny, tego świadomość mam pełną) projekt. Przyszedł czas na zabezpieczanie. To co zastosowałem to znane mi htmlentities przy odbieraniu POSTów i mysql_real_escape_string przy zapisach do bazy danych. Czy jeszcze w jakiś sposób zabezpiecza się standardowo różne operacje? Gdzie mogę znaleźć wartościową wiedzę?

Zabezpieczenie stron to pojecie bardzo szerokie a to co ty tutaj wymieniles to nadaje sie tylko do kosza.

Po pierwsze: strone sie zabezpiecze od poczatku, a nie na jej koncu.
Po drugie: skoro uzywasz mysql_real_escape_string, znaczy ze uzywasz funkcji mysql_ - wielki BLAD. Juz dawno powinienies jechac na PDO
Po trzecie: htmlentities przy odbieraniu POSTów ? Ze niby po co?

No dobra, są to zawsze już jakieś informacje do poszukiwań

Przejrzyj sobie chociażby OWASP TOP 10: https://www.owasp.org/index.php/Top_10_2013-Top_10

No dobrze, czyli ku końcowi to jednak jeszcze daleko, sporo do ogarnięcia zupełnie nowego tematu. Dzięki za podpowiedzi!

No co ty, nie widziałeś nigdy pętli na POST/GET z htmlspecialchars/htmlentities ? Nie takie potworki się widziało

Widzialem... dlatego sie pytam PO CO?? To ze jedni piszą potworki, nie znaczy, że inni nadal muszą powtarzac bledy sprzed tysiaca lat

Do zmiennych pre definiowanych możesz dodać $_POST['przyklad'] = filter_var($_POST['przyklad'], FILTER_SANITIZE_STRING);

http://stackoverflow.com/questions/2339212...itize-string-do