Czy tak napisana funkcja ochroni stronę przed atakiem XSS?

Question

Oto funkcja:

function anty_xss($content){
    $input = htmlspecialchars_decode($content,  ENT_QUOTES); 
    $input2 = str_ireplace("<script>", " ", $input);

     return $input2;
}                

Edit: Lub zamiast zamieniać na puste miejsce to czy nie lepiej będzie zamienić na tag pre ?

 

Answer 1

Nie bardzo wiem, przed czym ma chronić zamiana encji na znaki? No i samo wycięcie znacznika <script> w żaden sposób nie załatwia sprawy (zwłaszcza, że wystarczy podać <script > i Twoja funkcja tego nie zamieni) – przecież kod JS można podać jako atrybuty [on…] a nawet – jako źródło ramki.

Po stronie PHP warto skorzystać z https://phpbestpractices.org/#sanitizing-html niemniej można się też zabezpieczyć po stronie przeglądarki, przy pomocy Content Security Policy.