Угроза здесь XSS .Это код Javascript, который злоумышленник попытается выполнить с помощью атаки XSS.
Чтобы убедиться в этом, удалите htmlspecialchars (), а затем опубликуйте это как name
:
<script>alert('xss')</script>
You 'Вы увидите, что ваш PHP-код распечатает это, и браузер выполнит Javascript.Наиболее распространенные XSS-атаки происходят в веб-приложениях, где пользователь вошел в сеанс.Успешная XSS-атака может прочитать куки-файл идентификатора сеанса жертвы, используя document.cookie
, а затем отправить его на веб-сайт злоумышленников, где злоумышленник может продолжить перехват сеанса.
Эта атака называется Reflective XSS.Более серьезным типом XSS является Persistent XSS , в котором вы, например, сохраняете входные данные в базе данных, а затем распечатываете их на своей домашней странице, которую могут видеть все пользователи, или на любой другой странице.Постоянный XSS намного более вреден, потому что любой посетитель страницы, где сохраняется XSS, может быть атакован без фактического повторного запуска атаки для каждой жертвы.