NIGDY NIE UFAJ OTRZYMANYM DANYM !!!
isset(): boolis_int(): boolis_bool(): boolis_float(): boolis_numeric(): booltrim(): usuwanie spacji z prozodu i z tyłustrip_tags(): usuwanie tagów html z łańcuachhtmlspecialchars(): konwertowanie znaków & " ' < > na encje HTMLhtmlentities(): Konwertuj wszystkie "podejrzanych" znaków na encje HTML; jeśli stosujemy wszędzie utf-8, to można zapomnieć o tej funkcjifilter_var($x,FILTER): wartość przefiltrowana lub false
$x = "Ala ma <a href='#'>kota</a> i <strong>psa</strong>."; echo $x; echo strip_tags($x); echo strip_tags($x,"<strong>");Ala ma kota i psa.
$x = "Jan Kowalski<iframe src='http://hacker.com/xss-injection.php' style='width:0;height:0;border:0; border:none;'/>"; echo $x;i wyświetli tekst
Jan KowalskiRozważmy ten kod
$x = "Jan Kowalski<iframe src='http://hacker.com/xss-injection.php' style='width:0;height:0;border:0; border:none;'/>"; $x = htmlspecialchars(trim($x)); echo $x;teraz wyświetlony będzie napis
Jan Kowalski<iframe src='http://hacker.com/xss-injection.php' style='width:0;height:0;border:0; border:none;'/>
<?php
if(isset($_POST['name']))
{
$name = $_POST['name'];
$replyto = $_POST['replyTo'];
$message = $_POST['message'];
// Nagłówek SMTP
$headers = "From: $name \n" .
"Reply-To: $replyto";
mail("root@localhost", "Uwagi klienta", $message, $headers);
}
?>
name=Joe Bloggs&replyTo=joebloggs@example.com&message=Example message
name=Attacker\nbcc: spam@victim.com&replyTo=attacker@attacker.com&message=Attacker message(windows: zastąp \n przez \r\n)