Защита от XSS. Как?

ИМХО, это будет лучшим вариантом:)

if(isset($_GET['r']) && !preg_match("/^[a-zA-Z._0-9]+$/", $_GET['r'])){ 

echo "ERR"; 

} 

а накой Вы проверяете?????

по такому запросу должна выдаваться ошибка 404. почему этого не происходит?

И что из приведенного является защитой от XSS????

Так чем же не устраивает проверка через isset? Не могу понять.

Например, ежели, переменная неактивная, то присваиваем ей значение "news" (.

if (isset($_GET['r'])) {

   if(!preg_match("/^[a-zA-Z._0-9]+$/", $_GET['r'])){ 

      echo "ERR"; 

  }

}

else {

   $_GET['r'] = "news";

} 

Ну, вот, к примеру, так может?

У BlackEvil рациональнее :)

экранировать все вредоопасные символы, проверять строку на соответствие ну и конечно + делать редирект на все несуществующие страницы через .хтацесс, например так:

ErrorDocument 404 /err404.html

и да поможет вам гугл!)

NutZ, такой вариант, сам по себе - кривой. Тогда получается, что у страницы index.php?razdel=news появляется копия index.php

if (isset($_GET['r'])) {

   if(!preg_match("/^[a-zA-Z._0-9]+$/", $_GET['r'])){ 

      echo "ERR"; 

  }

}

else {

   $_GET['r'] = "news";

   // Ну или Header("Location: error404.php");

} 

NutZ добавил 22.09.2009 в 17:11

T.R.O.N, тогда редирект в помощь.

NutZ добавил 22.09.2009 в 17:15

Хм, а если разделы статичиские, то почему бы просто не сделать след. образом:

switch ($r) {

    case "news":

       include("news.php");

        break;

    case "news1":

       include("news1.php");

        break;

    case "news2":

       include("news2.php");

        break;

}

Ну, это образно. Инклюд или не инклюд, не знаю, почему бы этот вариант не рассмотреть?

Всеравно какйто бред. Какое отношение это все имеет к защите от XSS? В самом страшном случае, XXS грозит страницам поиска, и то, если писал их ленивый. Ничего не понимаю...

T.R.O.N, Вы это в целом о задаче? То есть не понятен смысл проблемы?

NutZ, безусловно. Если не делать такой проверки как у Вас, то чего Вы опасаетесь?