Хорошая статья, суммирующая опасности межсайтового скриптинга и способы их предотвращения. Примеры есть в Perl, но основное сообщение никогда не доверяет чему-либо из браузера .
Что касается межсайтовых сценариев, то следует проявлять особую осторожность, если вы позволяете посетителям вашего сайта добавлять к нему контент или «возвращать» значения, которые они отправили (например, слово, которое они ищут).
В наши дни лучше использовать библиотеки PHP, такие как PEAR :: HTML_QuickForm или PEAR :: Validate, чтобы предотвратить упущения при использовании регулярных выражений для проверки входящих данных.
Когда вам нужно разрешить посетителям добавлять размеченный контент, наиболее эффективным подходом являются BBTags (общие для vBulletin и phpBB) — PEAR :: HTML_BBCodeParser может помочь. В этой области «одним из наблюдателей» является KSES, который представляет собой «фильтр HTML и XHTML», если вы хотите, чтобы посетители могли использовать собственные теги.