Mi chiedevo se l'aggiunta di un doppio apice alla fine di una query fosse considerata un filtro XSS valido. Diciamo che abbiamo una funzione di ricerca e ho inserito:
"><script>alert('hi')</script>
Se guardo all'origine della query risultante, vedrò quanto segue:
<input name="search" type="text" value=""><script>alert('hi')</script>">
Il doppio preventivo verrà aggiunto automaticamente alla fine della mia richiesta.
Supponendo che il filtro cancelli anche il carattere null e commenti HTML <!--
, sarebbe un filtro XSS efficace o è solo un pio desiderio?