[Haimz]

ציטוט:

נכתב במקור על ידי Tyler

ואו תודה.
שאלה כללית: האם בכל פעם שאני משתמש בצורה הראשונה שציינת אני חושף את הדף לXSS?
לדוגמא

קוד:

<?php echo $key; ?>

גם חשוף לXSS?
כי אני די משתמש בצורה הזאת בהמון דפים וקודים

ברור,

תחשוב שהכתובת של המשתמש היא כזו:

קוד:

url.com/index.php?id=<script>alert('xss');</script>

ואתה תציג את תוכן ה id , כלומר מה שיוצג לך בעמוד יהיה:

קוד:

<script>alert('xss');</script>

וזה לא טוב, לכן אתה צריך להשתמש ב htmlspecialchars:
http://php.net/htmlspecialchars

אבל כשאתה מציג מספרים, שימוש בintval יספיק.

ד"א כנ"ל גם לגבי _POST ו _COOKIE וכל הקלט מהגולש.

ועוד משהו קטן: אם אתה עובד מול מסד נתונים, htmlspecialchars לא יעזור לך (בעוד ש intval כן), אתה צריך למנוע sql injection שזה פשוט בmysqli ו pdo אם תשתמש ב bind parameters