[php][javascript] xss a htmlspecialchars Opcje

[bmL]

Witam, ostatnimi czasu znajomy powiedział mi że htmlspecialchars nie jest wystarczającym zabezpieczeniem przeciw atakom XSS. Niestety on sam nie może znaleźć źródła tekstu który o tym traktował a swoją opinię aktualnie opiera jedynie na tym że popularne frameworki korzystają z własnych systemów filtrowania, zamiast robić używając htmlspecialchars.
Tak więc moje pytanie brzmi czy istnieje możliwość wykonania ataku XSS niech to będzie dla przykładu alert('test') nie koniecznie atak ale kod js.

[PHP] pobierz, plaintext 
<form method="post" action="index.php">
<input type="text" name="txt" />
<input type="submit" value="sprawdz" />
</form>
 
<?php
if(isset($_POST['txt'])
   echo htmlspecialchars($_POST['txt']);
?>
[PHP] pobierz, plaintext 

[bmL]

Ale nikt nie pakuje raczej zmiennych do "onmouseover" i innych atrybutów które standardowo są interpretowane jako js. ale do takich atrybutów jak "title" to się raczej dość często spotyka czyli:

[PHP] pobierz, plaintext 
<?php echo '<a href="http://wp.pl" title="$nazwa_strony" /> '; ?>
[PHP] pobierz, plaintext 

Żeby zamknąć href="" i otworzyć nowy który może być interpretowany jako js. musisz użyć cudzysłowu (IMG:style_emoticons/default/winksmiley.jpg)
Ewentualnie wypadało by jeszcze filtrować słowo "java script:" (IMG:style_emoticons/default/smile.gif)
Chyba się nie mylę? (IMG:style_emoticons/default/smile.gif) ponownie proszę o poprawienie jeżeli jest inaczej (IMG:style_emoticons/default/smile.gif)

// EDIT widzę, że tutaj też chyba działa jakieś dziwne zabezpieczenie na XSS bo słowo "javascript" zamienia mi na "java script" ze spacją (IMG:style_emoticons/default/smile.gif) Tak jak pisał poprzednik może i bbcode (IMG:style_emoticons/default/tongue.gif)

Ten post edytował bmL 16.10.2009, 11:29:21