xss ป้องกันได้ง่ายๆครับ
http://www.okvee.net/articles/...ured-form-and-prevent-csrf-xss 
หรือใช้
http://htmlpurifier.org/ ก็ได้ครับ
ตัวอย่าง xss เช่น
ในหน้าเว็บมีรับค่า echo $_GET['name']; แล้วมีการเรียก url ?name=<script>alert('ok')</script>
ถ้าตัวอย่างการโจมตีแบบง่ายๆตามข้างบนนี้ htmlspecialchars มันก็กันได้ครับ แต่ถ้ามาแบบอื่นๆเช่นอักขระที่เข้ารหัสมา มันจะกันไม่ได้เลยครับ
ดังนั้นใช้โค้ดจากเว็บผมหรือ htmpurifier จะดีกว่า
แล้วมีอีกอย่างที่ควรรู้คือ csrf (cross site request forgery)
เช่น ในเว็บมีระบบสมาชิก เหยื่อล็อกอินแล้วไม่ได้ล็อกเอาท์
เหยื่อหลงเข้าไปในเว็บกับดัก คลิกที่ฟอร์มหนึ่งที่วางกับดักไว้
ฟอร์มนั้นส่งค่าเข้าไปยังเว็บเป้าหมายที่เหยื่อล็อกอินไว้ โดยเป็นคำสั่งเปลี่ยนอีเมลแก้ไข profile
เหยื่อจบเห่.
อันนี้ก็ป้องกันได้ด้วย captcha หรือใช้สคริปของผมที่ทำแจกไว้ เอาไปใช้ได้ครับ ลิ้งค์ข้างบนเลย
ส่วนคนที่ใช้พวก php framework อย่างเช่น codeigniter สบายๆเลยครับ แค่เขียนเพิ่มนิดหน่อย เพราะของเขาทำมาให้เจ๋งอยู่แล้ว.
พัฒนาเว็บไซต์
