Имеется сайт на php, самопис
Как лучше защищаться от XSS?
Если, к примеру, при добавлении данных в бд, экранировать спецсимволы (в основном <, >, $, %, &, ' и ") с помощью htmlspecialchars, поможет ли это избежать xss?
А если потом нужно будет показывать данные в приложении, которое ничего не знает про html?) вырезать будете?) перед сохранением еще есть смысл попробовать вырезать то чего точно не может быть под этим полем, но и то тоже нельзя усердствовать, лучше хранить как есть, а вот защищаться от xss нужно когда есть такая опасность, т.е. когда показываете данные юзерам
