[php][javascript] xss a htmlspecialchars Opcje

[bmL]

Witam, ostatnimi czasu znajomy powiedział mi że htmlspecialchars nie jest wystarczającym zabezpieczeniem przeciw atakom XSS. Niestety on sam nie może znaleźć źródła tekstu który o tym traktował a swoją opinię aktualnie opiera jedynie na tym że popularne frameworki korzystają z własnych systemów filtrowania, zamiast robić używając htmlspecialchars.
Tak więc moje pytanie brzmi czy istnieje możliwość wykonania ataku XSS niech to będzie dla przykładu alert('test') nie koniecznie atak ale kod js.

[PHP] pobierz, plaintext 
<form method="post" action="index.php">
<input type="text" name="txt" />
<input type="submit" value="sprawdz" />
</form>
 
<?php
if(isset($_POST['txt'])
   echo htmlspecialchars($_POST['txt']);
?>
[PHP] pobierz, plaintext 

[bmL]

W sumie myślałem o takim sposobie ale uważałem to za mało groźne bo kto bezmyślnie pakuje takie zmienne do tagów html. Tylko nie zwróciłem uwagi że czasem do titla się wrzuca a ostatnio coraz częściej m.in dla lepszej indeksacji przez google.

Czyli miał rację i w skrócie dodatkowo trzeba escape'ować/usunąć cudzysłowy i apostrofy (IMG:style_emoticons/default/smile.gif) Poprawcie mnie jeżeli się mylę (IMG:style_emoticons/default/smile.gif)

[bełdzio]

Czyli miał rację i w skrócie dodatkowo trzeba escape'ować/usunąć cudzysłowy i apostrofy (IMG:style_emoticons/default/smile.gif) Poprawcie mnie jeżeli się mylę (IMG:style_emoticons/default/smile.gif)

poprawiam (IMG:style_emoticons/default/smile.gif) )

[HTML] pobierz, plaintext 
<p onmousemove=java script:alert(1)>dasdasd</p>
[HTML] pobierz, plaintext 

bez spacji oczywiście bbcode sam dodaje (IMG:style_emoticons/default/smile.gif)

Ten post edytował bełdzio 15.10.2009, 19:08:35