Ho visto, perciò non è pericoloso proprio perché non è interpretato dal browser.Originariamente inviato da las
no perchè uno script per essere eseguito deve essere <script> nel codice HTML e in quel caso tu non lo vedi a video, invece se nell'HTML c'è <SCRIPT> tu a video vedi <SCRIPT> e il browser non interpreta nulla.
... non so se è chiaro, è un po complicato da spiegare, è molto più facile fare un esempio, prova a fare:
prova a mettere nella prima textarea <SCRIPT>alert('Prova1')</SCRIPT> e nella seconda <SCRIPT>alert('Prova2')</SCRIPT> e vedrai che ti appare un allert con la scritta prova1 mentre il secondo script viene proprio scritto nella pagina ma non eseguitoCodice PHP:<?php
echo @$_POST['messaggio1'];
echo htmlspecialchars(trim(@$_POST['messaggio2']));
?>
<form action="<?= $_SERVER['PHP_SELF'];?>" method="post">
<textarea name="messaggio1" rows="5" cols="30"></textarea>
<textarea name="messaggio2" rows="5" cols="30"></textarea>
<input type="submit" name="invia" value="Invia" />
</form>
Oltre a questi 2 < e > ci sono altri caratteri pericolosi?
Rispondi quotando