htmlspecialchars($string, ENT_QUOTES, $char_set) je u vecini slucajeva pravo resenje.
ENT_QUOTES se dodaje zbog ', a $char_set je bitan zato sto postoje nacini da se izvrsi XSS sa nekim drugim (npr utf-7) enkodingom.
Ja bih zabranio i koriscenje svih zagrada, taraba i sl u slucaju da je moguce "kontrolisati" neki deo javascripta.
|