https://www.opennet.ru/openforum/vsluhforumID8/7429.html Здравствуйте!<br>Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:<br>&lt;script&gt;alert(123)&lt;/script&gt;<br>Начал искать статьи по валидации пользовательского ввода и все, что я нашел, это:<br>mysql_real_escape_string<br>как способ защиты от MySQL инъекций.<br>Где и что еще можно почитать о методах защиты сайта от подобного рода пользовательского ввода?<br>Спасибо.<br>Алексей<br> https://www.opennet.ru/openforum/vsluhforumID8/7429.html#5 Thu, 22 Dec 2011 08:03:07 GMT htmlspecialchars, mysql_real_escape_string + проверки дают некоторую степень защиты<br> https://www.opennet.ru/openforum/vsluhforumID8/7429.html#4 Thu, 22 Dec 2011 04:55:51 GMT &gt; В конкретном случае это было название создаваемой темы на форуме <br><br>лучше всего конечно проводить проверку на уровне доступа пользователя к браузеру.. чтобы он не вводил лишних тем на форумах...<br> https://www.opennet.ru/openforum/vsluhforumID8/7429.html#3 Fri, 16 Dec 2011 07:09:07 GMT Смотрите HtmlSpecialChars()<br> https://www.opennet.ru/openforum/vsluhforumID8/7429.html#2 Fri, 16 Dec 2011 06:04:17 GMT В конкретном случае это было название создаваемой темы на форуме<br> https://www.opennet.ru/openforum/vsluhforumID8/7429.html#1 Fri, 16 Dec 2011 05:56:00 GMT &gt;[оверквотинг удален]<br>&gt; Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST: <br>&gt; &lt;script&gt;alert(123)&lt;/script&gt; <br>&gt; Начал искать статьи по валидации пользовательского ввода и все, что я нашел, <br>&gt; это: <br>&gt; mysql_real_escape_string <br>&gt; как способ защиты от MySQL инъекций.<br>&gt; Где и что еще можно почитать о методах защиты сайта от подобного <br>&gt; рода пользовательского ввода?<br>&gt; Спасибо.<br>&gt; Алексей <br><br>А проверять на уровне приложения введенные пользователем данные не пробовали? Чтоб он элементарно не ввел слово туда, где надо писать числа и т.д.<br>