Deus Figendi: Cross Site Scripting abwehren

Beitrag lesen

Wenn ich per JavaScript garantieren kann, dass die $_POST Variable sozusagen sauber ist, muss (oder sollte) ich dann in PHP bei weiterer Verarbeitung der Daten und Ausgabe in HTML trotzdem noch zur Sicherheit htmlentities() verwenden?

Wenn du das per JavaScript garantieren kannst, ja. Aber du kannst nichts mit clientseitigem JavaScript garantieren. Jeder der etwas böses tun will und bemerkt, dass dein JS ihn daran hindert wird es einfach abschalten (oder entsprechende Teile des Codes deaktivieren/lokal entfernen).
Bei serverseitigem JS ist's natürlich was anderes.
Lass das JS einfach weg an der Stelle und prüf' nur serverseitig. Doppelt hilft auch nicht besser :)

--
sh:( fo:| ch:? rl:( br:& n4:& ie:{ mo:} va:) de:µ_de:] zu:) fl:( ss:| ls:[ js:(