سلام دوستان
یه سیستم دارم درست می‌کنم که فرم‌های زیادی توش به کار رفته. توی w3school و سایتای دیگه یه راه حل برای امن کردن فرم ها بدون فیلتر و استفاده از توابعی مثل addslash و trim معرفی کرده بودن که استفاده از تابع htmlspecialcahrs و نسبت دادنش به خود فایل با PHP_SELF در action فرم بود. خواستم بدونم همین تابع کار توابع بالا و فیلترها رو انجام میده یا نقاط ضعفی داره که باید پوشش داده بشه.
ممنون از راهنماییتون

addslash :


http://securityidiots.com/Web-Pentest/SQL-Injection/addslashes-bypass-sql-injection.html
http://stackoverflow.com/questions/16565189/can-addslashes-be-bypassed-when-using-utf-and-single-quotes
http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string


htmlspecialchars:



https://www.exploit-db.com/papers/13646
https://shawarkhan.com/bypassing-htmlspecialchars-and-executing-xss/


:لبخند: