Buenas amigos del foro, acá hice una función que evita ataques XSS para un sistema web que estoy desarrollando, después de que consulte todo tipo de información de la BD ingresada directamente por el usuario, ésta reemplazará los caracteres más simples que permitan la interpretación de código HTML, me pregunto si estará bien o si necesito cuidarme de algo más. Favor díganme que tal está y si es segura, la verdad es muy simple:
Código PHP:
function PreventXSS($String)
{
$Find = array('&', '<', '>', '/');
$Replace = array('& ;', '< ;', '> ;', '/ ;');
$NewString = str_replace($Find, $Replace, $String);
return $NewString;
}
Saludos
.
NOTA: En el replace los caracteres son entidades HTML, pero la página del foro los interpreta como caracteres normales.