Nesanatizováné výstupy

[AntonioSpeedy]

Zdravím PC-Help potřeboval bych pomoct s tímto, napsaly my to na naš web a nevím co si mám myslet, kde hledat a jak opravit.

Kód: Vybrat vše

Takže nahlašuji bug o tom že nejsou ošetřené výstupy z DB.
Resp. do výstupu můžu napsat co chci v HTML, problém je v tom, že nejsou ošetřené kritické tagy jako jsou "script", "iframe", "link", apod.
Je tedy možné vložit nebezpečné HTML tagy do stránky, můžou obsahovat například JS a v tom "lepším" vám jen přepíšou CSS.

Podle mě je to kritická chyba...

[Reklama]

[CZechBoY]

Zdravím,
na stránce máš nejspíš XSS
vstupy stačí ošetřit funkcí htmlspecialchars, ale lepší je podle kontextu použít funkci