Разное

Как показала практика, в названиях товаров, поступающих в виде электронных прайсов, могут присутствовать практически любые знаки – латиница, проценты, доллар, решетка, все виды кавычек, включая обратные, знаки неравенства, решетка, конъюнкция, точка с запятой и т.д. Гипотетические, из них может сложиться код, который будет выполнен системой. Или такой код может быть создан преднамеренно каким-либо шутником. Или злоумышленником. Поэтому возникает желание протестировать свою систему на наличие такого кода. Что бы такое запустить в систему под видом названия товара, чтобы оно отработало как код?

И еще. Существуют ли какие-либо обязательные атрибуты кода? То есть, такая комбинация знаков, при отсутствии которой данная строка уже совершенно точно не является исполняемым кодом?

всё зависит от того, что вы собираетесь делать с этим названиями товаров. если например пропускать их через eval (это бессмысленно, но мало ли), то да, это могло бы быть очень опасно. ну а если просто выводить на странице сайта, то htmlspecialchars было бы достаточно. ну и опционально можно обрезать до определенной длинны

Не вызвал проблем вот такой код:

<script>location.href = "http://sex.com"</script>

Видимо, встроенной защиты достаточно...

Правильно будет - document.location.href=....

Если о правильно, то не document.location, а window.location. Объект location расположен на один уровень ниже объекта window, и при однофреймовой структуре, когда нет необходимости указывать фрейм объекта location, к которому обращаемся, ссылку на widow можно опускать и писать location.href...., location.reload....

По сути неважно откуда товар поступает : из прайса, или из бэкенда. Перед вывдом используйте htmlspecialchars. По сути проверить-то легко

alert('Должен выскочить alert');