Siguiendo un poco con la costumbre hoy vos a dejarles otro pequeño artículo sobre Seguridad en PHP y, más precisamente, sobre ataques y vulnerabilidades XSS. Durante el desarrollo de este texto voy a suponer leído el artículo anterior de Seguridad en PHP: Ataques XSS: el peligro de hacer echo $_GET['var'] por lo que no voy a explicar nuevamente los peligros que conlleva una vulnerabilidad XSS, los ejemplos para explotarlas, las formas de solucionar este problema ni otras cuestiones mencionadas en aquel texto.
Comentarios
Cuirosa esta vulnerabilidad...que por cierto no conocía. Alguna alternativa al uso de $_SERVER['PHP_SELF']??? $_SERVER['SCRIPT_NAME']??
#1 Lo realmente efectivo es utilizar una buena gestión de sesiones. Por ejemplo utilizando HASH de headers cómo HTTP_USER_AGENT con una palabra secreta. Más en http://www.phpsec.org