В чем ошибка при вставке скрипта?

Question

[Ярик Мамаев]

Поспорил с другом, что найду брешь в его сайте.

Такая ситуация: я ввожу '';!--"<fuck>=&{()} в поле для отправки сообщения, а получаю ';!--"=&{()} на выходе. Ясно дело, сайт глотает всё, что в скобках. Но после этого, открывая код HTML страницы, я не могу найти свой fuck. ( Искал посредством кнопки F3). Пожалуйста подскажите что я сделал не так, уязвим ли сайт или я не догоняю.

P.S. Пробовал внедрять скрипты и более сложные. Все равно глотает и ничего не отдаёт, будто бы и не было!!!

Comments

[RedHairOnMyHead]

alert пробовали?

[Tyranron]

Да обычный strip_tags() там на сервере и всё. Вырезает все тэги из строк.

[CityCat4]

sanitize input. Удаление из вводимых строк всего, что кажется подозрительным. Вполне себе нормальная практика.