Sta browser sve prepoznaje kao komandu?

[ damso @ 03.04.2007. 01:39 ] @

Ako u bazu podataka dozvolim upis <script> taga a posle prikazujem vrednost polja iz baze u browseru,onda moze neko da dodaje svoje scriptove u moju bazu sto ja ne zelim.
To sam rjesio lijepo podesim upis u bazu da ne da <script>

Mene interesuje ima li jos nekih opasnih "kljucnih" rijeci koje ne bi trebalo dozvoliti u bazu podataka kada posjetioci upisuju komentare koji ce biti interpretirani od browsera?

[ mbabuskov @ 20.03.2008. 20:06 ] @

Najlakse da sve znakove koji znace nesto u HTML pretvoris u odgovarajuce HTML simbole. Npr, < ce postati < pa kada se pojavi u browseru, bice ispisano <script> na ekranu (<script> u source-u) umesto da ga browser interpretira kao pravi script tag.

Ako koristis npr. PHP, funkcija za to ti je htmlspecialchars().