Я считаю что удачного способа защиты от XSS изобрести невозможно, т.к. это особенности (читай - недостатки) http - протокола.
Самое простое при защите от XSS — проверять при смене прав пользователя, с какого сайта исходит изменение прав.
Но и это можно обойти. Один мой знакомый поступил радикально — при запросе изменения прав перенаправлял на повторный ввод пароля.

Это защищает от XSS. Но не юзабельно массово, т.к. вводить дополнительный пароль при каждом пуке прикольно только на первых порах и не применимо в реальных проектах.

Что касается массового использования
[PHP]$arr[$num] = mysql_escape_string($tmp); // экранирует данные (для защиты от SQL-инъекций)
[/PHP]
то подобное можно наблюдать много где и используется.
Но перебор по всем строкам где надо и где не надо — имхо перебор;)
Вот тоже рабочий пример, который мне больше нравится:
[PHP]
function escape($string) {
if (!get_magic_quotes_gpc())
return mysql_real_escape_string($string);
else
return mysql_real_escape_string(stripslashes($string));
}
[/PHP]

smp, неа не верный способ так как $xss может быть массивом или объектом

[PHP]if(is_numeric($xss)) $arr[$num] = intval($xss);[/PHP]
Правильно - долой дробные части чисел с плавающей точкой, они только БД замусоривают! :rjunimagu:

Если число, его можно не обрабатывать сторонними функциями.



Тут можно обойтись только htmlspecialchars (для вывода) и подготовленными выражениями PDO (при сохранении в БД)

Warning: htmlspecialchars() expects parameter 1 to be string, array given как минимум

Защита от SQLInjection - правильно использовать PDO*.
Защита от XSS - так называемаля соль. Очень мощный инструмент!

Пример:
Есть ссылка на удаления записи: http://domain.com/blog/111/delete
Тоесть, если есть права пользователя на удаления, то я Вам просто сбрасываю этот код. И если Вы перейдете, то все, блог удален =))
Добавим соль. Ссылка будет иметь вид: /blog/111/delete?key={SECRET_KEY}
Соль можно сохранять где угодно, в большинстве сохраняется в сесии пользователя. Даже я Вам сброшу этот УРЛ, то система Вас не пропустит, так как неизвестный ключ

http://ru.wikipedia.org/wiki/CSRF

Добавлять соль ко всем урлам? Мощно.

Мне понравилось:

То есть атаакуют вас или нет, но к каждому урлу будьте добры добавляйте ключ.

Знаете, какое заболевание «характеризуется длительными периодами необоснованного недоверия к окружающим»?
http://ru.wikipedia.org/wiki/%D0%9F%D0%B0%...%BE%D0%B9%D1%8F

Самая лучшая защита от XSS — если Вам прислали от неизвестного письмо «посмотри какие у моей девочки большие сиськи» — не ходить по ссылке.

ZhukV, очередной бред )

только формы отправляемые POSTом должны содержать ключ дабы ссылки были более или мнеее нормального вида а не что то в таком роде

http://site.ru/news/Vot_eto_pricol/?s=Я_ПА...ССЫЛКИ_ЗАСОЛЕНЫ

нормально посолили новость?

Скорее всего не вырно выразил мысль =(

Соль желательно добавлять к тем урлам, где есть какие-то действия: удаление, блокирование и т.д.