Evitar javascript injection en PHP

Hola a todos.-

Tengo por ejemplo esta url:

www.midominio.com/resultado.php?mensaje=hola

Pero por ejemplo alguien malintencionado podría cambiar la url para meter javascript injection:

www.midominio.com/resultado.php?mensaje=<h1 onmouseover=alert(1)>alertaXSS</h1>

Para evitarlo he puesto en resultado.php:

$_GET["mensaje"] = strip_tags($_GET["mensaje"]);

Y así ya me funciona perfectamente y ya solo me escribe el mensaje al eliminar todo el HTML.

Pero por si acaso me gustaría para darle más seguridad poder eliminar todo el posible javascript que haya en $_GET["mensaje"], ¿existe alguna manera en PHP para eliminar todo el javascript que haya en una cadena que se pasa por parámetro?

Muchas gracias

Verifica si esta función puede empezar a ayudarte. Te recomiendo que uses también las funciones o métodos innatos de php para evitar añadir código de inyección sql. Ejemplo en PDO puedes usar bindParam o bindValue, en la librería de mysqli si es que estás usando una base de datos mysql puedes usar mysqli_real_escape_string, entre otras cosas, solo necesitas leer los comentarios en la página oficial para que te den ideas de lo que puedes hacer.

estimado eso que descrives se llama ataque xss; que puedes apalear con un pequeño codigo y que hoy en dia todos los navegadores incluyen esa funcionalidad:

busca X-XSS Protection.
referencia: https://geekflare.com/apache-web-ser...ning-security/


Colocando en el inicio de tu código esto:
si quieres ir un paso mas alla:con eso estarías bastante protegido.
te recomiendo googlear las cabeceras de los header para que sepas para que son.

Saludos.