Достаточна ли такая защита от XSS

@_Виктор · Регистрация: 25.03.2011

Студворк — интернет-сервис помощи студентам

Всем привет. Назрел такой вопрос. Я работаю над своим первым серьезным сайтом. Вкачестве защиты все запросы пользователя пропускаю через такой фильтр:

PHP
1
2
3
4
5
6
7
8
9
function filter($text){
$result = addslashes($text);
$result = mysql_escape_string($result);
$result = preg_replace('/[^A-Za-z0-9]/', '', $result);
$badwords = array('input', 'union', 'script', 'select', 'update', 'script', 'www', 'http', '.ru');
$result = str_replace($badwords, '', $result);
if ($result != $text) die('В запросе содержатся недопустимые символы!');
return $result;
}

Прошу знающих людей прокоментировать достаточна ли такая защита от ввода XSS иньекций через формочки на моем сайте. Есть ли тут ошибки?
Очень беспокоит, что die случается до return. И еще при посылке GET запроса я все равно вижу в адресной строке что-то вида: site.ru?p=''""<> При этом выводится "В запросе содержатся недопустимые символы". На мой взгляд так и должно быть, я прав?
Заранее спасибо за ответы и критику.

@myxasa · 16.01.2013, 21:47

если например так echo $_GET["do"] , то тут нужно хтмл теги(если юзер напишет их) преобразовать в их сущности:
echo htmlspecialchars($_GET["do"])

если огородить от sql инъекций то:

PHP
1
$do = mysql_real_escape_string($_POST['do']);

$malcious_input = "' OR 1'";
// Вводяться вредоносные данные
// С помощью mysql_real_escape_string() с вредоносными данными происходят изменения

\' OR 1\'
// Заметьте, что слеш заменил кавычки, тем самым сделав вредоносные данные неопасными

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .