я хочу отобразить имя_продукта из другой таблицы, которая имеет тот же идентификатор_продукта

Многие фреймворки помогают обрабатывать XSS по-разному. Когда вы катаетесь самостоятельно или если есть какая-то проблема XSS, мы можем использовать filter_input_array (доступно в PHP 5> = 5.2.0, PHP 7.) Обычно я добавляю этот фрагмент к моему SessionController, потому что все вызовы пройдите туда до того, как какой-либо другой контроллер взаимодействует с данными. Таким образом, все входные данные пользователя дезинфицируются в одном центральном месте. Если это сделано в начале проекта или до того, как ваша база данных отравлена, у вас не должно быть никаких проблем во время выхода ... останавливает мусор, мусор.

/* Prevent XSS input */
$_GET   = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
$_POST  = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);
/* I prefer not to use $_REQUEST...but for those who do: */
$_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST;

Вышеупомянутое удалит ВСЕ HTML & amp; скриптовые теги. Если вам нужно решение, которое позволяет безопасные метки на основе белого списка, посмотрите HTML Purifier .

Если ваша база данных уже отравлена ​​или вы хотите иметь дело с XSS во время выхода, OWASP рекомендует создать пользовательскую функцию-обертку для echo и использовать ее в любом случае вы выведете пользовательские значения:

//xss mitigation functions
function xssafe($data,$encoding='UTF-8')
{
   return htmlspecialchars($data,ENT_QUOTES | ENT_HTML401,$encoding);
}
function xecho($data)
{
   echo xssafe($data);
}