Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Александр, если злоумышленник может подделать заголовки и изменить кодировку, то функция htmlspecialchars не поможет обезвредить XSS код, который я выгрузил из БД, например (который туда занес пользователь) для вывода на страничке? Как тогда защищаться от XSS?
Проверять кодировку в заголовке, и если она не соответствует нужной, то отказывать пользователю в загрузке страницы / перенаправлять его на другую страницу, например?
Я только начинаю изучать защиту от XSS. Прочитал несколько статей, но про такие тонкости нигде читал. Может, в популярных фреймворках это уже сделано? Поэтому мало кто пишет об этом?

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Александр, ни разу не слышал, что нужно ПРОВЕРЯТЬ КОДИРОВКУ. даже в той же статье на хабре этого не написано.

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Александр, ой, теги не вывелись. Как же теги:
<html><head>
И вы не ответили про F12.

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Александр, почему не сможет? Нажать F12 и изменить любой может.

Единственное, что важно при указании кодировки через мета-тег, - это указание мета с кодировкой первым

На htmlbook об этом ничего не сказано. Почему именно первым? Типа чтобы все, что шло дальше этого тега было в этой кодировке? А как же и - все равно они раньше написаны.

Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)?

Я правильно понял, функции strip_tags, htmlentities, htmlspecialchars нужно использовать при выводе какой-либо информации, поступившей от пользователя? Выводе на страничку.
И все, в других случаях эти функции для защиты от XSS применять не нужно?

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

А если я через мета тег укажу. Ее же любой изменить может? А это плохо. Злоумышленник может изменить на UTF7 и обойти защиту от XSS, разве я не прав?

Какую часть проекта (инет магазина на Kohana) нельзя заливать в публичный репозитарий с точки зрения безопасности?

А зачем версию MySQL указывать (я про readme.md)? Я же php код на гитхаб заливаю, а не SQL.

Нормально ли то, что у меня в БД есть определенные значения. И в php они тоже в виде констант сохранены?

Слышал про эту книжку, спасибо. А там разве есть про БД?

Я слышал, что goto использовать НЕЖЕЛАТЕЛЬНО. А что насчет while(true)? В функции есть много if'ов, в которых есть return. Моветон ли while(true)?

Moskus, php язык.

MySQL - Можно находить длинные записи из БД по коротким - с помощью LIKE и %. А можно ли наоборот? Найти короткую запись в БД по длинной?

Я написал вот такой запрос:

$query = 'SELECT * FROM seo WHERE '.$url.' LIKE url';

где $url = "/seo/news".
И мне выдало ошибку:

Database_Exception [ 1064 ]: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/seo/news LIKE url' at line 1 [ SELECT * FROM seo WHERE /seo/news LIKE url ]

MySQL - в БД в строчках регулярки. Как произвести поиск, сравнивая данные с регуляркой в строчках?

dimonchik2013, жаль (( . а не подскажете тогда, как мне отличить следующие записи:
1. mysite.ru/articles
2. mysite.ru/articles/44
Я хочу сделать автоматическую установку SEO данных для страниц. Первая запись - это страница просмотра карточек статей. Вторая запись - это страница конкретной статьи.
Вторая может выглядеть еще вот так, например.
mysite.ru/articles/reviews/44
mysite.ru/articles/advices/44
Суть в том, что на конце число.
Вот пришла такая строка, например (страница просмотра статей):
mysite.ru/articles
Как мне взять из БД запись, отвечающую за страницу просмотра статей? Но никак не за конкретную статью (не должно быть числа на конце)!

Я не хочу создавать миллион записей:
mysite.ru/articles/reviews/44
mysite.ru/articles/reviews/5
mysite.ru/articles/advices/44
mysite.ru/articles/advices
mysite.ru/articles/reviews
...............

Я хочу создать всего две записи - для просмотра статей. И для просмотра конкретной статьи. Поэтому нужно что-то типа регулярки.

MySQL - в БД в строчках регулярки. Как произвести поиск, сравнивая данные с регуляркой в строчках?

dimonchik2013, с таким же успехом я могу просто вывести все данные из БД. Просто написать SELECT *. Без всяких WHERE.
Мне нужно одна конкретная строка, а не все строки.

MySQL - в БД в строчках регулярки. Как произвести поиск, сравнивая данные с регуляркой в строчках?

Нет, мне это не подходит. У каждой строчки в БД свой паттерн для поиска (своя регулярка). А вы написали уже часть запроса (паттерн). Ну так чтобы написать запрос, строчку с %about% для начала нужно найти. А как ее найти - вот, в чем вопрос.

Как сделать, чтобы данная регулярка находила совпадения не по одиночке, а сразу весь блок (На сервисе проверки регулярок так и есть, а в php нет)?

Решение в комментариях вопроса от этого автора.

Как сделать, чтобы данная регулярка находила совпадения не по одиночке, а сразу весь блок (На сервисе проверки регулярок так и есть, а в php нет)?

Вот, ответьте, пожалуйста, как сделать так, чтобы вместо много 'z' была одна?

$string = "onvodf                     oicj                 ijji                                                      ndssssss                                                                      ggjbnjg";
$string = html_entity_decode($string);
$string = preg_replace('/[ \t]{1,}/m', 'z', $string);
return $string;

Как сделать, чтобы данная регулярка находила совпадения не по одиночке, а сразу весь блок (На сервисе проверки регулярок так и есть, а в php нет)?

ThunderCat, Вот, ответьте, пожалуйста, как сделать так, чтобы вместо много 'z' была одна? Тот же самый код, но исходная строка другая.

$string = "onvodf                     oicj                 ijji                                                      ndssssss                                                                      ggjbnjg";
$string = html_entity_decode($string);
$string = preg_replace('/[ \t]{1,}/m', 'z', $string);
return $string;

Как сделать, чтобы данная регулярка находила совпадения не по одиночке, а сразу весь блок (На сервисе проверки регулярок так и есть, а в php нет)?

ThunderCat, да, точно, проблема в тексте! я попробовал простую строку написать, и там все нормально работает.

Статья на хабре про хеширование паролей. Непонятны некоторые моменты. Поможете разобраться?

я прочил про Bcrypt. он уже использует соль. таким образом, дополнительно солить перед использованием этой функции не надо?

Статья на хабре про хеширование паролей. Непонятны некоторые моменты. Поможете разобраться?

хэш + соль

почему хеш + соль? это лучше, чем прибавить соль до вычисления хеша?

генерируем случайный временный токен восстановления

я видел в php функцию генерации случайных чисел. но вот случайных токенов - нет. что это за функция?

У пользователя хранится ID сессии в куки. Таким образом, если злоумышленник доберется до компьютера жертвы, он может просто скачать себе ее cookie?

то проще украсть пароль и надеяться что этого хватит

А что, если пользователь не сохранил пароль в хроме? Но авторизован. Да даже если сохранил пароль, он зашифрован.