Pokusavam nauciti nesto o XSS-u.
Kao primjer sam na jedan free host uploadao php skriptu sadrzaja:
<?
$no = $_GET['no'];
print( "$no" );
?>
Sripta uzima parametar «no» i ispisuje sadrzaj na stranicu.
I ako u browser utipkam
[url=http://www.host.com/stranica.php?no=<script>alert(]http://www.host.com/stranica.php?no=<script>alert([/url]"bla")</script>
ili
http://www.host.com/stranica.p...Ealert(%22bla%22)%3C/script%3E
trebao bih vidjeti prozor sa natpisom «bla».
No umjesto toga vidim samo praznu bijelu pozadinu, a source stranice izlgeda ovako:
<script>alert(\"bla\")</script>
Na kraju ispada da php u sve ulazne stringove ubacuje \ ispred svih navodnika, dvostrukih i jednostrukih.
No kako se i imalo ozbiljnija skripta ne da napisati bez navodnika ovo predstavlja velik problem.
I pitanje: kako da ubacim navodnike.