Het is genoeg als je een script 'beveiligt' tegen XXS door alleen mysql_real_escape_string te gebruiken?

Beetje een korte vraag maar meer kan ik er niet van maken.

Je haalt XSS en SQL injections door elkaar. Je beschermd je tegen SQL injections door mysql_escape_string of mysql_real_escape_string te gebruiken in een query. Je beschermd je tegen XSS aanvallen door bij de output van userinput te filteren d.m.v. htmlentities of htmlspecialchars. Let op: strip_tags voldoet niet tegen XSS aanvallen!

Als je trouwens echt veilig wilt zijn, controleer dan ook goed je server instellingen. Met name open_basedir, register_globals en magic_quotes_gpc zijn belangrijke opties om in de gate te houden. Als alleen al open_basedir uitstaat is dat een regelrechte ramp voor je applicatie.

Bedankt voor de uitleg! Ik haalde inderdaad even twee dingen door elkaar.