Cross-site Scripting

2025-02-07 12:58:02 +00:00
1 changed files with 1 additions and 1 deletions
--- a/index.php
+++ b/index.php
@ -33,7 +33,7 @@ if(isset($_GET['id'])) {
 // El siguiente código es vulnerable a XSS ya que imprime directamente en el HTML el contenido de una variable que puede ser manipulada por el usuario sin ninguna sanitización.
 if(isset($_GET['mensaje'])) {
    $mensaje = $_GET['mensaje']; // Input del usuario susceptible a XSS
-    echo "<div>$mensaje</div>"; // Vulnerable a XSS
+    echo "<div>" . htmlentities($mensaje, ENT_QUOTES, 'UTF-8') . "</div>"; // Sanitize output to prevent XSS
 }

 // Cerrar conexión