Я сделал функцию для работы с инъекциями CSS и XSS, но все еще продолжаю работать.Как защитить от внедрения XSS и CSS?
Кто-то сказал следующее для меня, но я не уверен, что это значит:
На вашей функции sanitize_input, сделать strip_tags раздеться все HTML-теги, которые могут быть добавлены через форму. Читайте php.net на strip_tags.
Вот мой код:
private function sanitizeInput() {
foreach($_POST as &$post) {
$post = $this -> db -> real_escape_string($post);
}
}
вы ** НЕ ** делаете какие-либо санирующие там вообще. вы просто выполняете экранирование SQL-контекста, которое НЕ делает ничего, чтобы фундаментально «исправить» вредоносные данные. Такое ускорение также совершенно бессмысленно, если вы не собираетесь использовать эти данные в SQL-запросе. –
[Великий эскапизм (или: что вам нужно знать, чтобы работать с текстом внутри текста)] (http://kunststube.net/escapism/) – deceze
Какую функциональность вы используете для доступа к своей базе данных? У вас также должна быть функция strip_tags: '$ post = strip_tags ($ this-> db-> real_escape_string ($ post));' если вы хотите удалить теги. –