В листинге 9.2 приведен обработчик HTML-формы из файла index.php, посылающей методом POST значение поля name. Если элемент суперглобального массива $_P0ST['name'] не установлен, это означает, что текстовое поле name не было заполнено. В этом случае в окно браузера выводится предупреждение и ссылка возврата, реализованная при помощи
функции JavaScript - history.back().

Код, приведенный в листинге 9.2, не решает проблему пробелов, которые можно ввести в качестве значения текстового поля name. Для решения этой проблемы следует использовать функцию trim(), которая уничтожит все пробелы в начале и конце переменной. В этом случае вместо функции isset о следует использовать функцию empty о -листинг 9.3.

Второй необязательный параметр quote_styie задает режим обработки одинарных и двойных кавычек. По умолчанию этот параметр соответствует константе ENT_COMPAT, в данном режиме двойные кавычки заменяются символом ", при этом одиночные остаются без изменений. Кроме этого, параметр может принимать два других значения: ENT_QUOTES И ENTJMOQUOTES. В первом случае, помимо двойных кавычек преобразованию подвергаются также одинарные кавычки, которые заменяются символом '. Значение параметра ENTNOQUOTES задает режим, в котором не один из видов кавычек не подвергается преобразованию.

Межсайтовый скриптинг (Cross Site Scripting, XSS) позволяет злоумышленнику включать свой HTML-код страницы. Наиболее уязвимы для такого вида атак являются гостевые книги и форумы, где посетителям предоставляется наибольшая свобода в динамическом формировании страниц. Возможности кода, который злоумышленник может вставить в код сайта, практически не ограничены, например, вставка тега img со ссылкой на скрипт, который расположен на подконтрольном сайте, позволяет собирать различную информацию (например, cookie). В основе атаки лежит использование специальных символов, позволяющих внедрить свой код в страницу.