[Draqir]

PHP-kod:

mysql_real_escape_string(htmlentities(XSS_CLEAN(filter_input('INPUT_POST', $str, FILTER_SANITIZE_ENCODED )), ENT_QUOTES), $dbobj)); 


Kom ihåg: Att städa är mycket roligt...

[SimonP]

Som en del redan nämnt, glöm inte av att skydda er mot XSS.

I dagläget är det nog mer vanligt med XSS-hål än med SQL-injection hål, även större företag missar XSS:en, det finns t.ex en svensk bank som har ett XSS-hål som innebär att man kan sno sessions-cookien :|

I PHP är htmlspecialchars() är det första steget man bör använda för att skydda sig mot XSS. Beroende på applikationen kan man även behöva komplettera med fler skydd.