[ big_B @ 28.03.2008. 21:39 ] @
Pokusavam nauciti nesto o XSS-u.

Kao primjer sam na jedan free host uploadao php skriptu sadrzaja:

<?
$no = $_GET['no'];
print( "$no" );
?>

Sripta uzima parametar «no» i ispisuje sadrzaj na stranicu.

I ako u browser utipkam

[url=http://www.host.com/stranica.php?no=<script>alert(]http://www.host.com/stranica.php?no=<script>alert([/url]"bla")</script>

ili

http://www.host.com/stranica.p...Ealert(%22bla%22)%3C/script%3E

trebao bih vidjeti prozor sa natpisom «bla».

No umjesto toga vidim samo praznu bijelu pozadinu, a source stranice izlgeda ovako:

<script>alert(\"bla\")</script>

Na kraju ispada da php u sve ulazne stringove ubacuje \ ispred svih navodnika, dvostrukih i jednostrukih.

No kako se i imalo ozbiljnija skripta ne da napisati bez navodnika ovo predstavlja velik problem.

I pitanje: kako da ubacim navodnike.

[ Miroslav Ćurčić @ 28.03.2008. 23:47 ] @
Na nekim hostinzima nema tog ubacivanja kose crte (magic_quotes) pa će tvoj primer raditi.
[ big_B @ 29.03.2008. 19:18 ] @
Ok, nasao sam rjesenje.....

<script>alert(String.fromCharCode(69, 83))</script>
[ Shadowed @ 29.03.2008. 20:14 ] @
ovde ti ne trebaju navodnici - print( "$no" );