Da, to bi trebalo da je sasvim dovoljno, ali obrati pažnju ako stavljaš neki text na title atribut pa onda recimo radiš neke javascript munje (aka tooltip), u tom slučaju čak i kada je escape-ovano, izvršiće se javascript.
Takođe obrati pažnju na to da ti je nekada baš potrebno da bude ne-escape-ovan tekst, recimo ako ima neki html koji hoćeš da pljusneš baš takko kako jeste i da ostane formatiran.
Kao što si rekao, ne treba ti nikakva teška artiljerija, besmisleno je štititi se od svega postojećeg (recimo ovaj Ivanov primer za utf-7, većina non-asian sajtova i ne koristi taj encoding), tako da je sasvim dovoljno to što si naveo, plus malo type casting (skoro isključiv kod inputa).
Recimo, smarty modifier escape radi upravo to, ali onda moraš u samom template da pišeš svaki put {$neka_varijabla|escape}
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman
I don't always know what I'm talking about but I know I'm right!
|