Versione delle 02:23, 9 mar 2011 modifica 2.38.5.67 (discussione) →Escape degli input ← Differenza precedente		Versione delle 02:23, 9 mar 2011 modifica annulla 2.38.5.67 (discussione) →Escape degli input Differenza successiva →
Riga 24: Il Metodo più sicuro per un programmatore, è quello di usare uno delle tre funzioni in php che permettono l'escape dei caratteri html inserite in una stringa. Queste tre importanti funzioni sono: htmlspecialchars(), htmlspecialentities(), strip_tags. Quelle elencate sono tutte sicure, differenziano soltanto l'output, vi faccio vedere: <br/> htmlspecialchars() <source lang="html4strict"> echo htmlspecialchars("<script>alert('xss')</script>", ENT_QUOTES); # L'output sarà: <a href='test'>Test</a> dato che converte i caratteri "particolari", in codice html. </source> htmlentities <source lang="html4strict"> echo htmlentities("I'm <b>bold</b>"); # L'Output sarà di conseguenza: I'm <b>bold</b> </source> strip_tags <source lang="html4strict"> $stringa="<a href="#">Verrò cancellato, lo so</a>anche io<p>ed anche io</p>";

Cross-site scripting: differenze tra le versioni