que puedo meter script a mi gusto, robar cookies etc...
aparte hay otro error que me permite ejecutar codigo php en el servidor y subir una shell etc...
pero todo eso se arregla con una simple funcion xD
asi ya seria segura:
libro.php:
<?php
function seguro($texto) {
return $texto;
}
$archivo = 'texto.htm';
if ($_POST['v'] == s) {
$mensaje = seguro($_POST['msg']);
$nombre = $_POST['name'];
$manejador = fopen($archivo,"a") or
die("Imposible abrir el archivo\n"); $info= "$fecha \n $nombre: $mensaje \n";
}
echo '<div><textarea rows="10" cols="40">'.$contenido.'</textarea>';
?>
<br>
<form action="libro.php" method="POST">
<input type="text" name="name"> <input type="submit" name="submit" value="Enviar"> <br>
<textarea name="msg" rows="5" cols="40"></textarea>
<input type="hidden" name="v" value="s">
</form></div>