LINUX.ORG.RU

История изменений

Исправление kiotoze, (текущая версия) :

Достаточно уже пишу на php, с нодой или питоном не знаком
Вот помогите разобраться, как обстоят дела в других языках, ну допустим в XSS атаках.
пример

запрос:
http://example.com/search.php?q=<script>alert('hello');</script>

ответ сервера:

<?php

echo !empty($_GET['q']) ? $_GET['q'] : 'Пустая строка';

Понятное дело что мы получаем алерт
Чтобы избежать выдаем ответ к примеру через htmlspecialchars($_GET['q'], ENT_QUOTES, 'UTF-8'); // на самом деле большенство пользуется хелпером

Но разве это проблема языка?
Или просьба к хейтерам извольте аргументированно обьяснить почему оцтой то? (учитывая более-менее актуальные версии 5.3+)

Исправление kiotoze, :

Достаточно уже пишу на php, с нодой или питоном не знаком
Вот помогите разобраться, как обстоят дела в других языках, ну допустим в XSS атаках.
пример

запрос:
http://example.com/search.php?q=<script>alert('hello');</script>

ответ сервера:

<?php

echo !empty($_GET['q']) ? $_GET['q'] : 'Пустая строка';

Понятное дело что мы получаем алерт
Чтобы избежать выдаем ответ к примеру через htmlspecialchars($_GET['q'], 'UTF-8')

Но разве это проблема языка?
Или просьба к хейтерам извольте аргументированно обьяснить почему оцтой то? (учитывая более-менее актуальные версии 5.3+)

Исходная версия kiotoze, :

Достаточно уже пишу на php, с нодой или питоном не знаком
Вот помогите разобраться, как обстоят дела в других языках, ну допустим в XSS атаках.
пример

запрос:
http://example.com/search.php?q=<script>alert('hello');</script>

ответ сервера:

<?php

echo !empty($_GET['q']) ? $_GET['q'] : 'Пустая строка';

Понятное дело что мы получаем алерт
Чтобы избежать выдаем ответ к примеру через htmlspecialchars($_GET['q'])

Но разве это проблема языка?
Или просьба к хейтерам извольте аргументированно обьяснить почему оцтой то)