Если через редактор, браузер всё правильно закодирует, чтоб все данные передались, он это умеет. Если чувак сам в адресную строку бред ввёл - его проблемы. Чтоб базу не потревожило, достаточно PDO::quote или подготовленных запросов. По поводу XSS: https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг
Уже вычитал Теперь надо защищаться. Чтобы куки не воровали, а то пароли то в сессиях хранятся. А сессия хранится в куках --- Добавлено --- Я не пойму как от скриптов, которые куки воруют защититься. Надо думать. Надо там где стоят формы отправки комментариев и тд. Использовать strip_tags А точней использовать вот такого рода функцию PHP: function strip_tags_content($text, $tags = '', $invert = FALSE) { preg_match_all('/<(.+?)[\s]*\/?[\s]*>/si', trim($tags), $tags); $tags = array_unique($tags[1]); if(is_array($tags) AND count($tags) > 0) { if($invert == FALSE) { return preg_replace('@<(?!(?:'. implode('|', $tags) .')\b)(\w+)\b.*?>.*?</\1>@si', '', $text); } else { return preg_replace('@<('. implode('|', $tags) .')\b.*?>.*?</\1>@si', '', $text); } } elseif($invert == FALSE) { return preg_replace('@<(\w+)\b.*?>.*?</\1>@si', '', $text); } return $text; } --- Добавлено --- Надо бы написать на форуме статейку для новичков, таких как я, как защитить свой проэкт от нападений со стороны безголовых хакеров. Которые не знают куда свои мозги приложить ....
Чувак, где ты столько бреда нахватался-то? Сессии не хранятся в куках. В куках хранится только session_id. Ну да, от его угона защититься стоит. Хотя однозначного метода нету. Кто-то пытается к IP привязать, кто-то к браузеру. Контакт - к географическому положению пользователя сейчас привязывает. Если у тебя комментарий не допускает html, то просто прогони его через htmlspecialchars или htmlentities перед выводом, и всё - хрен кто что сделает. Если допускает (как здесь, с редактором), то тоже не страшно: я ссылку на библиотеку дал
Надо бы написать на форуме статейку для новичков, таких как я, как защитить свой проэкт от нападений со сторо Ну да это и имел ввиду, что доступ к сессии хранится в куках --- Добавлено --- угу сохранил, заюзаю её когда подойду к использованию комментариев для конечного пользователя.