XSS через PHP_SELF

[savenko]

Здравствуйте!
На днях обзавелся пробной програмкой для сканирования сайта и она показывает что использование $_SERVER['PHP_SELF'] не безопасно и что можно встроить JavaScript код. Отсюда вопрос. Какая опассность может быть для сайта если пользователь отакует сам себя. Этот же код выполнится только на его компьютере. Не где не сохраняется он.

 

[Вурдалак]

Он может дать ссылку другому пользователю или перенаправить его туда.

P.S. На самом деле вряд ли что-то выйдет сделать через PHP_SELF, но правильнее, конечно, чтобы генерируемая ссылка перед выводом прошла через htmlspecialchars.

 

[ksnk]

На самом деле не очень-то красиво, что в поле action формы сайт может сгенерировать какую-то грязь, пусть даже эту грязь юзер сам подсовывает... Если другого способа получить путь до файла, кроме PHP_SELF нет, то можно просто обрезать его по первому встречному кривому символу.