Почему такая конструкция не допустима?

Question

[Андрей Терентьев]

Доброе время суток. На хабре прочитал, что такая конструкция недопустима. Почему и как сделать правильно? Я так понимаю это просто не безопасно. XSS?

<?php
$name = $_GET['name'];
echo "Hello, <b>$name</b>!";
?>

Answer 1

[Сергей Протько]

ну типа да, нужно бы прогнать через strip_tags/htmlentities хотя бы при выводе. Фильтровать нужно не только пользовательский ввод, но и то вывод пользовательских данных. Пользователям, знаете ли, нельзя доверять.

Answer 2

[Sali_cat]

Можно закатать в строку любую переменную... По типу ss.ru/?name=xss и выведется name:xss тем самым показывает что на сайте дыры.. Грозит, да чем угодно.. в данном случаи будет любое имя, а так можно вирус прописать.. И он будет работать

Comments

[Sali_cat]

Но это на примере get, через post просто консоль надо открыть)

Answer 3

[vdem]

$name = $_GET['name'];
printf('Hello, <b>%s</b>!', htmlspecialchars($name));

Comments

[Андрей Терентьев]

@vdem Расскажите пожалуйста подробнее. почему так и какую угрозу несет?

[Сергей Протько]

?name=<script>alert(%27XSS%27)%3B<%2Fscript>
попробуйте сами.

Если это комментарий, мы можем подсунуть любой скрипт на страницу, брать куки пользователя или просто делать что-то нехорошее, редиректить людей, предлагать чего... словом вы поняли.

[Сергей Протько]

@jkwe45 это самый простой пример. Если у пользователя должна быть возможность вставлять HTML, то надо опять же обезапасить свой сайт, и не разрешать ему вставлять лишние атрибуты для элементов и всякие стремные штуки. Вообще есть масса всего на что нужно проверять. Есть так же решения типа HTMLPurifier которые чуть упрощают жизнь.

[Андрей Терентьев]

@Fesor Спасибо :)