Всем привет!

Помогите найти решение..

Вот нашел на сайте xss/

Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте: '>

нет, это не возможно

а какие у меня есть варианты по этому поводу?

Я прописал: ?chat=1'> вывело мою картинку..

От балты прописал кусок php файла и выдало форму выгрузки файлов но не грузит файлы..

Может можно как-то вывести данные от базы есть я знаю как она подключена?

Вот так примерно:

$host='localhost';

$db_user_name='1111';

$db_password='111111';

$db_name='d111111';

Пробовал: ".$db_password." но выводит как текст..

Хоть какие то варианты что-то сделать есть?

кинь сайт

зачем? если дашь конструктивную информацию о вариантах что можно сделать тогда дам.

XSS выполняется на компьютере пользователя, а не на сервере. Поэтому никакие данные, находящие на сервере, получить через XSS нельзя.

С помощью xss можно украсть куки не более

Не совсем так Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.

Я ответил на это "Можно ли выкачать базу таким способом? или просмотреть каталог сайта?"

Тогда без обид, извини Просто мною данная фраза воспринялась именно как утверждение в целом по xss, а не в контексте. Еще раз, сорри

Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..

Что-то можно в таком случаи сделать?

Форма загрузки отображается только у тебя в браузере. Если отправить файл с помощь этой формы, то ничего не произойдет, сайт не будет знать что делать с полученным файлом.