In questi ultimi tempi ho assistito a diversi attacchi xss anche su celebri siti che offrono pittaforme open source realizzate in php 4.0 e 5.0. Se desideri testare la “sensibilità” dei form delle tue piattaforme web, Firefox offre un valido plugin, XSS Me in grado di poter valutare la sicurezza di tutti i moduli presenti sul tuo sito. Per proteggerti adeguatamente con un unica funzione php da indesiderati attacchi xss puoi impiegare la mia cleanupinput:
function cleanupinput($input) {
$input = trim($input);
$input = stripslashes($input);
$input = htmlspecialchars($input);
$input = mysql_real_escape_string($input);
return $input;
}
Con la funzione nativa php trim rimuovi i caratteri di controllo ASCII all’inizio ed alla fine di un stringa, con stripslashes e mysql_real_escape_string scongiuri l’impiego chiaramente di slash anch’essi impiegati per assestare attacchi sql injection e infine con htmlspecialchars per convertire caratteri speciali in entità html.