Herinner dat PHP de veiligheid een GELAAGD ding is. Er is no one enige moeilijke situatie die veiligheid aanzet en het onderaan vast sluit.
In het algemeen, zijn de zittingen veilig tenzij u een gat elders verlaat. De aanvallen XSS werken in PHP wanneer u javascript zo gepost laat worden in een de inputgebied van HTML dit
…
echo $_POST [„whoops“];
is onzeker omdat ik kon binnengaan terwijl dit
…
echo strip_tags ($_POST [„whoops“
]);
is veiliger omdat het javascript van de inputstroom elimineert. PHP kan u op de bedelaar op verrassende manieren bijten, bijvoorbeeld is de gehele serie $_SERVER injecteerbaar door javascript en $_REQUEST wordt gemakkelijk eveneens gemanipuleerd. Zo nooit, ooit
$aaa = $_SERVER [„PHP_SELF“];
altijd
$aaa = strip_tags ($_SERVER [„PHP_SELF
“]);
Ook, bestudeer de mechanismen van de FILTER in PHP 5.2+
http://www.php.net/filter_var
