12.11.2009, 21:37
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о
1. UTF-7
2. Если значение после обработки htmlspecialchars попадает в ссылку, например "URL домашней странички", что с успехом подтверждает следующий код:
PHP код:
<?php
$a = "javascript:document.write('<script>alert(0)</script>');";
$data = htmlspecialchars($a);
echo "<a href=$data>Tikni</a>";
?>
просто запустите и удивитесь сильно
PS: Посмотрите исходники странички перед тем, как тыкнуть, и ваще опупейте
Последний раз редактировалось Pashkela; 12.11.2009 в 21:48..
|
|
|