Достаточна ли такая защита от XSS

@_Виктор · Регистрация: 25.03.2011

Студворк — интернет-сервис помощи студентам

Всем привет. Назрел такой вопрос. Я работаю над своим первым серьезным сайтом. Вкачестве защиты все запросы пользователя пропускаю через такой фильтр:

PHP
1
2
3
4
5
6
7
8
9
function filter($text){
$result = addslashes($text);
$result = mysql_escape_string($result);
$result = preg_replace('/[^A-Za-z0-9]/', '', $result);
$badwords = array('input', 'union', 'script', 'select', 'update', 'script', 'www', 'http', '.ru');
$result = str_replace($badwords, '', $result);
if ($result != $text) die('В запросе содержатся недопустимые символы!');
return $result;
}

Прошу знающих людей прокоментировать достаточна ли такая защита от ввода XSS иньекций через формочки на моем сайте. Есть ли тут ошибки?
Очень беспокоит, что die случается до return. И еще при посылке GET запроса я все равно вижу в адресной строке что-то вида: site.ru?p=''""<> При этом выводится "В запросе содержатся недопустимые символы". На мой взгляд так и должно быть, я прав?
Заранее спасибо за ответы и критику.

@myxasa · 16.01.2013, 21:47

если например так echo $_GET["do"] , то тут нужно хтмл теги(если юзер напишет их) преобразовать в их сущности:
echo htmlspecialchars($_GET["do"])

если огородить от sql инъекций то:

PHP
1
$do = mysql_real_escape_string($_POST['do']);

$malcious_input = "' OR 1'";
// Вводяться вредоносные данные
// С помощью mysql_real_escape_string() с вредоносными данными происходят изменения

\' OR 1\'
// Заметьте, что слеш заменил кавычки, тем самым сделав вредоносные данные неопасными

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .