クロスサイトスクリプティングの事例。徳丸さんのBookmark経由

張られていた攻撃デモ用URL
h ttp://unkar.jp/2ch/search.php?q=%22%3E%3Cscript%3Ealert(%2FXSS%2F)%3C%2Fscript%3E
一応、外部からの入力には気を使っていたつもりなのですが、検索して一致するものが無い場合のみ、htmlentities関数を通した文字列を表示せず、生に近い入力を表示していました。
攻撃用の文字列が検索に引っかかるわけも無く、あっさりとXSSできるようでした。
外部入力を表示する必要がある場合は気をつけないといけないですね。

クロスサイトスクリプティング(XSS)なんて縁の無い攻撃方法だと思っていました - へぼいいいわけ