Если мой сайт когда-либо выйдет вживую (не думайте, что это будет, это просто учебное упражнение в данный момент).
Я использовал mysql_real_escape_string (); по данным POST, SERVER и GET. Кроме того, я использовал intval (); на строках, которые должны быть только числами.
Я думаю, что это покрывает меня от SQL-инъекции ? Верный? Могу ли я сделать больше?
Но, я не уверен, как он обеспечивает (если он вообще обеспечивает любую защиту) от XSS-инъекции ?
Приветствуется любая дополнительная информация о том, как бороться с этими двумя формами атак.