Sie müssen zuverlässig Cross-Site-Scripting-Angriffe (XSS) auf Ihre PHP-Anwendungen verhindern.

Maskieren Sie alle HTML-Ausgaben mit htmlentities( ) und achten Sie dabei darauf, dass Sie die richtige Zeichenkodierung angeben:

<?php
/* Beachten Sie die Angaben der Zeichenkodierung. */
header('Content-Type: text/html; charset=UTF-8');
/* Array für maskierte Daten initialisieren. */
$html = array();
/* Gefilterte Daten maskieren. */
$html['username'] = htmlentities($clean['username'], ENT_QUOTES, 'UTF-8');
echo "<p>Willkommen, {$html['username']}.</p>";
?>

Die Funktion htmlentities( ) ersetzt alle Zeichen durch das entsprechende HTML-Entity, wenn es eins gibt. > wird beispielsweise durch ...