PHP, XSS i přes strip_tags()

Obrana proti XSS bývá v PHP často realizována pomocí funkce „strip_tags()”, která vyjme HTML tagy ze znakového řetězce. Pokud je však zadán tag <\0script> nebo <s\0cript>, není odstraněn. Bohužel některé prohlížeče (Internet Explorer, Safari) odstraní „\0” a vyhodnotí tag jako legální. Vzhledem k použití zpětného lomítka je tato nepříjemná záležitost možná pouze pokud volba magic_quotes_gpc je vypnutá. Zranitelnost se týká verzí do 4.3.7, včetně. Řešení spočívá v povýšení na verzi 4.3.8. Původní oznámení.