PHPを使ったフォームで果たしてどれだけのサイトが

<script language="JavaScript" type="text/javascript"> window.location.href = "http://www.google.com/"; </script>

という風に入力された場合の対処ができているかｗｗ　

ふむｗ　やってはみたいものだけれども自重すべきポイントでもあるｗ

まぁ要するにPHPだと

<?php
if (isset($_POST['name']))
{
echo "Hello, " . $_POST['name'];
}
else
{
echo '<form action="' . $PHPSELF . '" method="post"><br>';
echo 'Your name, please: <input type="text" name="name"><br>';
echo '<input type="submit" value="Submit">';
echo "</form>";
}
?>

という感じのコードは危険なので、以下のようなコードにするべきって事なんだけどね..

<?php
if (isset($_POST['name']))
{
echo "Hello, " . htmlspecialchars($_POST['name']);
}
else
{
echo "<form action="' . $PHPSELF . '" method="post"><br>";
echo "Your name, please: <input type="text" name="name"><br>";
echo "<input type="submit" value="Submit">";
echo "</form>";
}
?>

ちなみにPHPに関するexploitの90%以上の攻撃は$_GET, $_POST周りをターゲットにしているようです。要はセキュリティ的に問題のあるサイトが多すぎるってことですね.

参考サイト:はっく　でぃす　さいと