سلام و خسته نباشید
همون طور که میدونیم هکر ها با تزریق کد های js سایت رو به راحتی هک میکنن.
راه های مقابله با اون هم استفاده از تابع htmlentities است.
حالا خواسنم ببینم راه های دیگه ای برای مقابله با این نوع هک ها وجود دارد.
راهی که به نظر من میرسه اینه:
وقتی که متن رو از کاربر گرفتم چک کنم ببینم که آیا کلمه ی script تو اون وجود داره یا نه.
اگه وجود داشت ارور بدم.
آیا این روش خوبه
مرسی

یک تابع هست که با preg_replace کدهای جاوا اسکریپت را دی فرمه میکنه

دقیق یادم نیست کجا دیدم ولی با یکم سرچ مشابه اش پیدا می کنید ...

کلیه توابع replace به تنهایی ، ضعف دارند و اصلا نمیتونن تامین امنیت کنند

مثال :

$test= "<script>alert(1)</script>";
$test2= "<scrscriptipt>alert(1)</scscriptript>";
$test3= "<scr<script>ipt>alert(1)</scr</script>ipt>";

پیشنهاد میکنم حین انتقال رشته به sql از تابع mysql_real_escape_string

و حین نمایش اطلاعات ، همیشه استفاده بشه از htmlspecialchars