Вобщем, попробую вопрос по другому сформулировать:
достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
Допустим все данные из формы A сохраняются в файл B и выводятся на экран в строку C.
A:
Цитата:
<script>alert('xss')</script>
Затем эта форма передается на скрипт и сохраняется в файл C.
Фильтровать на сохранении ничего не надо, достаточно правильно обработать выводимую из файла строку C функцией htmlspecialchars(B);
Об этом:
Сообщение от vorona
Вобщем, попробую вопрос по другому сформулировать:
достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
Смотря для чего, если вводимые данные не будут касаться БД то хватит, иначе по обстоятельствам нужно addslashes() и на выводе stripcslashes()
ЗЫ если ты имел ввиду фильтрацию от NULL байта, то ею болеет только функции eregi() которых в пхп6 небудет уже
Последний раз редактировалось b3; 23.09.2009 в 21:42..