[Witi]

hmm...interessante Variante das vorher nach Hex zu konvertieren. War mir gar nicht bekannt.

tavoc sagte:

Und XSS lässt sich mit mysql_real_escape_string auf gar keinen Fall blockieren:

XSS und SQL-Injections sind ja auch zwei verschiedene Paar Schuhe. In PHP kann man XSS bspw mit htmlspecialchars xoder htmlentities vorbeugen. Ansonsten auch eigene Regex basteln.

[tavoc]

html specialchars und co können aber wieder nicht mit HEX werten umgehen, oder ich schreib Tabs zwischen die Zeilen. Und schon können die Funktionen das nicht mehr lesen, die Browser entfernen die Tabs.

Also statt img, einfach i mg schreiben. in dem Hackersheet für XSS sind ja ein paar Möglichkeiten aufgelistet.
Aus diesem Grund verwende ich eigentlich grundsätzlich regex.