Html inject&裟e Karşı Önlem

Kod:
** ?
$hbt=$_GET["hbt"];

$hbt2=$_POST["hbt2"];

echo 'GET: '.$hbt;
echo'** br>';
echo 'POST: '.$hbt2;
?>


yukaridaki gibi bir kod düşünüyoruz. adres satırından ve form nesnelerinden gelen bilgileri direk ekrana veya sql'e yazdırıyoruz... ama yüce lamer efendileri ** h1>hacked** /h1> gibi html kodları gönderiyor ve html inject yaparak siteyi hekledim diyor bunu önlemek için;

1-


Kod:
** ?
$hbt=htmlspecialchars($_GET["hbt"]);

$hbt2=htmlspecialchars($_POST["hbt2"]);

echo 'GET: '.$hbt;
echo'** br>';
echo 'POST: '.$hbt2;
?>


htmlspecialchars(); fonksiyonunu kullanabilirisiniz.. html taglarının normal bir yazı gibi ekranda gözükecektir.

2-


Kod:
** ?

//htmlspecial_chars();

$hbt=strip_tags($_GET["hbt"]);

$hbt2=strip_tags($_POST["hbt2"]);

echo 'GET: '.$hbt;
echo'** br>';
echo 'POST: '.$hbt2;
?>


strip_tags(); fonksiyonu ilede html taglarının sitede gözükmemesini sağlayabilirsiniz..