एसक्यूएल इंजेक्शन ज्यादातर मामलों में तैयार बयानों के उपयोग से आसानी से बचा जाता है।
यदि आप उपयोगकर्ताओं को HTML मार्कअप पोस्ट करने की अनुमति देने की योजना बना रहे हैं तो XSS अधिक कठिन है। आपको सभी <script>
. को हटाना होगा टैग, सभी on*
टैग से विशेषताएँ, सभी javascript:
यूआरएल, और फिर भी इनपुट एचटीएमएल को सुरक्षित बनाने के लिए शायद पूरी तरह से गारंटी नहीं है। पुस्तकालय हैं जैसे HTMLPurifier
यह मदद कर सकता है, लेकिन जब तक आप HTML को अनुमति देते हैं, तब तक आपको कुछ दुर्भावनापूर्ण होने का खतरा है।
आप एक पुस्तकालय का उपयोग कर सकते हैं जो इसके बजाय मार्कडाउन या विकिटेक्स्ट जैसे कुछ लागू करता है। यह गंभीर रूप से सीमित करता है कि उपयोगकर्ता क्या दर्ज कर सकते हैं, जबकि उन्हें अभी भी सामग्री को एक हद तक चिह्नित करने देता है। यह फुलप्रूफ नहीं है (लोग अभी भी केवल दुर्भावनापूर्ण साइटों के लिंक पोस्ट कर सकते हैं और आशा करते हैं कि उपयोगकर्ता उन पर क्लिक करेंगे, जो कुछ वास्तव में करने के लिए पर्याप्त अनुभवहीन होंगे), और आप बिना किसी प्रकार के TinyMCE जैसे समृद्ध संपादक का उपयोग करने में सक्षम नहीं होंगे। प्लगइन का, लेकिन मार्कडाउन को सैनिटाइज़ करना HTML को सैनिटाइज़ करने की तुलना में बहुत आसान काम है।