Как защититься от XSS атаки? Устранить уязвимости скрипта

Как защититься от XSS атаки и устранить уязвимость? Думаю, большинство вебмастеров знает, что такое XSS-атака? А вам известно, что в интернете множество сайтов уязвимы или вообще не имеют защиты! А дело всё в том, что много всяких Х- специалистов. Поэтому нужно уделять внимание вопросам безопасности при написании скриптов.

Начнём с того что XSS-атака это когда хакер внедряет в страницу сайта какой-то свой код (HTML, jаvascript, а иногда даже и PHP). Это может принести вред .

Например:

Очень часто вставка определённого кода осуществляется для рекламы или перенаправления на другой сайт.

С помощью XSS можно возможно выкрасть содержимое файлов cookie посетителей сайтов, в которых могут без проблем храниться пароли.

Помимо взлома и кражи сайта, всегда возможна порча содержимого и дефейс страницы, т.е. изменение внешнего вида.

От XSS уязвимости вас могут защитить две основные функции:

strip_tags() - удаляет из строки все HTML-теги, кроме разрешённых. htmlspecialchars() - заменяет все спецсимволы на их HTML-аналоги (< заменяется на &lt; и т.д.)

В принципе, если проверять переданные пользователем переменные (будь то форма или простой запрос через адресную строку), то этих функций обычно хватает. Однако я бы посоветовал ещё проверять на наличие двоеточия (:), процента (%), слэшей (/ и \), а не только те, что в htmlspecialchars - &, ', ", . Это уже делается функциями с регулярными выражениями - обычно preg_replace.