[php][javascript] xss a htmlspecialchars

[php][javascript] xss a htmlspecialchars

bmL Zobacz profil	14.10.2009, 23:23:38 Post #1
Grupa: Zarejestrowani Postów: 301 Pomógł: 25 Dołączył: 15.07.2007 Skąd: Olsztyn Ostrzeżenie: (0%)	Witam, ostatnimi czasu znajomy powiedział mi że htmlspecialchars nie jest wystarczającym zabezpieczeniem przeciw atakom XSS. Niestety on sam nie może znaleźć źródła tekstu który o tym traktował a swoją opinię aktualnie opiera jedynie na tym że popularne frameworki korzystają z własnych systemów filtrowania, zamiast robić używając htmlspecialchars. Tak więc moje pytanie brzmi czy istnieje możliwość wykonania ataku XSS niech to będzie dla przykładu alert('test') nie koniecznie atak ale kod js. [PHP] pobierz, plaintext <form method="post" action="index.php"> <input type="text" name="txt" /> <input type="submit" value="sprawdz" /> </form> <?php if(isset($_POST['txt']) echo htmlspecialchars($_POST['txt']); ?> [PHP] pobierz, plaintext -------------------- Tutaj miał być jakiś mądry tekst. Miał być... No ale jest głupi tekst.