Есть ли список примеров атак, которые можно использовать для тестирования формы PHP?
В частности, это для форума, который использует парсер для разбора bbcode и не принимает HTML напрямую.
На данный момент он работает через функцию codeigniters xss_clean, а также через htmlspecialchars.
Если он делает что-то другое, он запускает htmlspecialchars_decode() при возврате данных во ввод или текстовую область для редактирования, но не при обычном отображении.
Есть некоторые области, которые я не совсем понимаю (никогда не пытался взломать веб-сайт), например, кто-то публикует изображение, которое выполняется через скрипт, или добавляет к изображению дополнительные строки javascript. Поэтому я в основном ищу примеры, которые я могу поместить в свою форму, чтобы проверить, справляется ли она с этим.
Я должен отметить, что я избегал использования strip_tags, так как это приводит к путанице в различных случаях, таких как:
Если я наберу X ‹ Y, он удалит все после X