Beste leden ,

Ik ben me aan het verdiepen in xss injecties op het gebied van BEVEILIGING ertegen niet om te hacken . En heb de volgende code gevonden op het net :

<?php
function beveilig($sInput) {
$sOutput = '';
if(!get_magic_quotes_gpc() == 0) {
$sOutput = $sInput;
} else {
if(function_exists('mysql_real_escape_string')) {
$sOutput = mysql_real_escape_string($sInput);
} else {
$sOutput = addslashes($sInput);
}
}
$sOutput = htmlentities($sOutput, ENT_QUOTES);
return $sOutput

echo beveilig('<script>alert(\'hoi\');</script>&');
?>

Graag had ik van jullie vernomen wat dit scriptje exact doet ? Is het een goede beveiliging of kan het beter ?

Met Vriendelijke Groeten

Enige wat ik me afvraag is; voor mysql_real_escape_string heb je een actieve DB connectie voor nodig, is de return van function_exists() dan false indien er geen geldige connectie is (de code doet dit natuurlijk wel al een beetje vermoeden).

Wat waardeloze functie om eerlijk te zeggen.

Sql injection en xss beveiliging moet je apart van elkaar zien. Tevens dien in je het htmlenties als 3de parameter een charset zoals UTF8 mee te geven zodat ze niet met andere charsets kunnen injecteren.