ciao a tutti...ho tanti dubbi...e tanta paura...

Purtroppo sul mio progetto non faccio controlli sicuri su quello che mi viene passato.

mi sono letto tutta la guida sulla sicurezza
http://php.html.it/guide/leggi/121/g...urezza-di-php/

ma non riesco a fare qualcosa di concreto.

quello che piu mi spaventa e' il crosssite-scripting

http://php.html.it/guide/lezione/298...scripting-xss/

purtroppo non riesco a simulare la stessa situazione sul mio progetto e non capisco.

dunque :
per prova....ho fatto una pagina stupidissima cosi
Codice PHP:
<?php
echo $_REQUEST['prova'];

?>

accedendo tramite url in questo modo : 
[url]http://miosito/miapagina.php?prova=[/url]<script>alert(document.cookie);</script>
il discorso fila....


ora...nelle mie pagine non vado a stampare direttamente la variable come sopra....
Io scrivo 
if(isset($_REQEUST['prova'])){
   $prova = $_REQUEST['prova'];
}


poi nel mio programma uso $prova opportunamente per quello che devo fare....

in questo caso non capisco proprio perche il dannato alert non salti fuori...

vorrei imparare a difendere il codice da questi possibili attacchi....


che ne so ...so che e' possibile passare una stringa all'input che magari chiude il parser php e mi apre  quello javascript....ma non so come cavolo scriverlo.

Quindi chiedo aiuto. Non vorrei tanto sapere come fare il danno quanto a prevenirlo....

Per prevenire tutti questi attacchi basta usare htmlspecialchars????
[url]http://it2.php.net/manual/it/function.htmlspecialchars.php[/url]

devo fare altri controlli??? concentriamoci solo all'url e agli input...

Spero che qualcuno sia gentile da aiutarmi con chiarezza perche sono un novellino.
grazie