iskljuci magic_quotes_gpc u php.ini, ili, ako nemas mogucnost da menjas php.ini onda pre koriscenja bilo cega iz $_GET, $_POST ili $_COOKIE nizova uradi sledece:
Code:
if (get_magic_quotes_gpc()) {
function stripslashes_array(&$array) {
if (is_array($array)) {
foreach ($array as $key=>value) $array[$key] = stripslashes_array($value);
} else {
return stripslashes($array);
}
}
stripslashes_array($_GET);
stripslashes_array($_POST);
stripslashes_array($_COOKIE);
}
a da se izboris sa XSS-om koristi neku biblioteku kao sto je
kses
znaci, recimo da hoces vrednost $_POST['comment'] da upises u bazu, treba da uradis sledece:
1. izvrsis onaj kod gore sto sam ti dao (tj to stavis samo na pocetak skripte)
2.
$comment = mysql_real_escape_string(kses($_POST['comment'], array()))
3.
mysql_query("INSERT INTO table_name SET comment = '$comment'");...
[Ovu poruku je menjao Aleksandar Ružičić dana 20.11.2008. u 15:15 GMT+1]