Защита для input и textarea ?

[Black_Star]

Добрый день уважаемые. Задался вопросом защиты html документа от вредоносных скриптов. На форумах вычитал что основная форма "отсеивания" вредоносного кода должна происходить на стороне сервера. (Согласно объяснениям злоумышленник может отключить JS а зараженное сообщение всё равно будет отсылаться) Хотел узнать насколько это утверждение верно, и всё таи какие есть методы по защите?
В пример приведу самую простую форму из одного input и textarea

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
	<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>
</head>
<body>
	
	<form id="form" action="send.php" method="POST">
		<div class="box-email">
			<input name="email" type="email" placeholder="your_email@gmail.com" autofocus
			required>
		</div>
		<div class="box-message">
			<textarea name="textMessage" id="textMessage" cols="30" rows="5"
			placeholder="You can write me some message" required></textarea>
		</div>
		<div class="send-box">
			<input type="submit" value="Send">
		</div>
	</form>
	
	<script src="script.js"></script>
</body>
</html>

То чем я попробовал отфильтровать данную форму в php

<?php
$textMessage = $_POST['textMessage'];
$email = $_POST['email'];

// Filters
$textMessage = htmlspecialchars($textMessage);
$email = htmlspecialchars($email);

$textMessage = urldecode($textMessage);
$email = urldecode($email);

$textMessage = trim($textMessage);
$email = trim($email);

if (mail("for_spam@gmail.com", "Заявка с сайта", "Суть письма:"."\n".$textMessage."\n"."E-mail: ".$email ,"From: for_spam@gmail.com \r\n"))
	{     echo "сообщение успешно отправлено";
} else {
	echo "при отправке сообщения возникли ошибки";
}
?>

Из всех методов что я вычитал самые часто встречаемые стали фильтрация на тег <script> и заменять угловые скобки и амперсанд на их спецсимволы.

function sanitizeHTML(html) {
    var doc = document.implementation.createHTMLDocument("Test");
    doc.body.innerHTML = html;
    var nodes = doc.querySelectorAll("script,style,link,object");
    for (var i=0, len=nodes.length; i < len; i++) {
        nodes[i].parentNode.removeChild(nodes[i]);
    }
    return doc.body.innerHTML;
}

str = str.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

Может ещё кто чего присоветует, и по JS и по php

[laimas]

$textMessage = htmlspecialchars($textMessage) и mail() как text/plain. Вопрос - какое содержание получим в почтовом отправлении?

$textMessage = urldecode($textMessage);
$email = urldecode($email);

с чего вдруг?

[Black_Star]

1) Первая функция преобразует все символы, которые пользователь попытается добавить в форму: При этом новые переменные в php не создаются, а используются уже имеющиеся.(для примера - фильтр, преобразует символ "<" в '&lt;'.)
2) функция декодирует url, если пользователь попытается его добавить в форму.

[laimas]

Сообщение от Black_Star

Первая функция преобразует все символы, которые пользователь попытается добавить в форму:

Полнейшая чушь, так как почта в данном случае отправляется как text/plain. В этом случае вместо того, чтобы прочесть "Мне нужно <= чем ...", получатель прочтет Мне нужно &lt;= чем ...". Это нормально? И только при отправке почты как text/html нужно обрабатывать тело сообщения htmlspecialchars().

Сообщение от Black_Star

функция декодирует url, если пользователь попытается его добавить в форму

Вообще без комментариев, ну дурь, что говорить.

[Black_Star]

Возможно Мои знания в пыхе очень низки (Собственно потому-то я и задаю вопрос)
Источник моих ответов вот.
http://webriz.ru/st/one/prosteyshaya...chi-html-i-php
А показывать, laimas какой Вы тут Д'Артаньян, а все остальные жалкие нубы, не приводя при этом ни каких аргументированых ответов глупо.

[laimas]

Сообщение от Black_Star

А показывать, laimas какой Вы тут Д'Артаньян

Точно улыбнуло.

Ну причем тут знания, ну вы же изучаете, ну скажите на милость, где написано в руководстве, что htmlspecialchars это инструмент фильтрации значений? Она нужна при выводе данных в браузер, который оперирует html. Что будет, если даже нет в выводе "опасного", а просто выражение мной приведенное? Правильно, html будет битым. Ну естественно преобразовывая < и > в html-мнемоники htmlspecialchars предотвращает XSS атаки на странице.

И это надо же понимать, а не вклеивать эту функцию куда непопадя. А ее применяют при записи в базу данных, а потом мучаются, данные пришедшие формой, и т.д., и т.п.

Для проверки и фильтрации данных формы есть целый набор фильтров, вот чем надо пользоваться при ее проверке.

[Rise]

Black_Star, если enctype формы равен application/x-www-form-urlencoded, а по умолчанию это так, то в $_GET и $_POST уже находятся urldecode-данные, т.е. в данном случае при отправке формы браузер делает urlencode данных и указывает заголовок Content-Type: application/x-www-form-urlencoded, при получении HTTP-сообщения PHP смотрит по заголовку Content-Type какого типа контент пришел, так как это application/x-www-form-urlencoded, то делает обратную операцию urldecode и раскладывает данные по ключам массивов $_GET и $_POST.

[Black_Star]

Спасибо за пояснения