Qual è il modo giusto per sfuggire ai dati non validi la var " $actuallinkk
" all'interno di questo script java
<a href="javascript:reportUser(\''.$actuallinkk.'&act=inviteadmin\')">Invite Consultant to this conversation</a>
questo è quello che ho fatto sotto, non so se è la cosa giusta per affrontare l'attacco xss.
function noHTML($input, $encoding = 'UTF-8')
{
return htmlentities($input, ENT_QUOTES | ENT_HTML5, $encoding);
}
$actuallinkk = "http://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
echo'<script>
function reportUser(repUrl) {
if (confirm("Are you sure you want to invite Consultant to this chat?")) {
document.location = repUrl;
}
}
</script>
';
echo'
<li><a href="javascript:reportUser(\''.noHTML($actuallinkk).'&act=inviteadmin\')">Invite Consultant to this conversation</a>
</li><br/>';
if($_GET["act"]=='inviteadmin'){}