Quando si parla di programmazione il ventre molle sono quei punti del programma che accettano un input dall’utente.
È, purtroppo, una questione sottovalutata anche nei corsi tecnici delle scuole. Se però in un programma di prova in C è anche perdonabile, in un programma in PHP esporto ad Internet lasciare una XSS è assolutamente inaccettabile.
Dunque, quale funzione uso nei miei software per evitare XSS in PHP?
function xss($value){
return htmlspecialchars(strip_tags($value));
}Tale funzione, semplicemente, elimina i tag HTML ed eventuali caratteri speciali, minimizzando il rischio di una XSS.
