|
Сообщение от dima85
|
|
То есть если у меня простая html страничка, без всяких php запросов и скриптов.
|
У РНР нет запросов, это к нему запросы, и ваша задача контролировать вывод клиенту со стороны сервера. Вот где можно ожидать XSS. Если в этом посте я помещу текст <script>alert('ALARM');</script>, а сервер его необработанный выведет на страницу, то скрипт будет запущен:
//это опасно
echo "<script>alert('ALARM');</script>";
//это безопасно
echo htmlspecialchars("<script>alert('ALARM');</script>");
Ваш код вреда не принесет, но он и бесполезен на все 100.