Здравствуйте!
Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
<script>alert(123)</script>
Начал искать статьи по валидации пользовательского ввода и все, что я нашел, это:
mysql_real_escape_string
как способ защиты от MySQL инъекций.
Где и что еще можно почитать о методах защиты сайта от подобного рода пользовательского ввода?
Спасибо.
Алексей

• MySQL injection and other malicious input,Аноним, 09:56 , 16-Дек-11
  • MySQL injection and other malicious input,handler2006, 10:04 , 16-Дек-11
    • MySQL injection and other malicious input,Square, 08:55 , 22-Дек-11
• MySQL injection and other malicious input,cryo, 11:09 , 16-Дек-11
  • MySQL injection and other malicious input,handler2006, 12:03 , 22-Дек-11

>[оверквотинг удален]
> Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
> <script>alert(123)</script>
> Начал искать статьи по валидации пользовательского ввода и все, что я нашел,
> это:
> mysql_real_escape_string
> как способ защиты от MySQL инъекций.
> Где и что еще можно почитать о методах защиты сайта от подобного
> рода пользовательского ввода?
> Спасибо.
> Алексей

А проверять на уровне приложения введенные пользователем данные не пробовали? Чтоб он элементарно не ввел слово туда, где надо писать числа и т.д.

В конкретном случае это было название создаваемой темы на форуме

>  В конкретном случае это было название создаваемой темы на форуме

лучше всего конечно проводить проверку на уровне доступа пользователя к браузеру.. чтобы он не вводил лишних тем на форумах...

Смотрите HtmlSpecialChars()

htmlspecialchars, mysql_real_escape_string + проверки дают некоторую степень защиты