Na w3schools są osobne tutoriale dla cybersecurity, a w rozdziale "PHP Form Validation" jest wspomniane i wyjaśnione XSS.
Równie dobrze można by się przyczepić, że o XSS nie piszą w oficjalnym manualu PHP opisującym instrukcję echo: https://www.php.net/manual/en/function.echo.php
Nie, dlatego że to jest po prostu printowanie, w nie łączenie plaintestowych wartości i HTML, także nie.
W3Schools jest dobre na sam początek ale jako prosty wstęp, gdzie autorzy nie chcą przeciążać początkującego wszystkimi tematami.
To nie jest tutorial dla kogoś, kto jutro będzie stawiał produkcyjny serwis otwarty na ataki.
Nie zgadzam się. Jakby tylko osoby które budują duże profesjonalnego serwisy zasługiwały na tutoriale bez błędów. Polecanie kodu podatnego na XSS to jest błąd po prostu.
Pokaż mi tutorial, który przygotuje początkującego, całkowicie zielonego, do postawienia w chwile dużego serwisu, gdzie oprócz ataków XSS, SQLInjection będzie gotowy na dziesiątki innych bardziej subtelnych pułapek takich jak DOS albo data scraping.
Mylisz koncept dodawania dodatkowych zabezpieczeń (dodaniach zabezpieczenia przeciwko ddos albo DS) vs samoczynne tworzenie dziur.
Bo żeby zabezpieczyć się przed DDOS musisz dodać faktycznie jakieś nowe zabezpieczenie i musisz się na tym znać (np dodać dodatkowy alarm do domu)
Natomiast żadna aplikacja nie jest zasadniczo podatna na XSS i sql injection - taka podatność wynika tylko i wyłącznie jeśli programista sam doda taką lukę (np zostawi otwarte drzwi).
Czyli co innego jest jak ktoś Cię napadnie i postrzeli (DDOS), a co innego jak kupisz broń i sam sobie strzelisz w stopę (XSS). Twój argument teraz brzmi, że jeśli nie umiesz się obronić przed napadem, to nie ma sensu żeby ktoś Ci tłumaczył jak się nie postrzelić w stopę.
Podsumowanie
Początkującym już na starcie trudno jest zrozumieć XSS i sql infection.
Strona z tutorial ami która pokazuje jako przykład kod który już od startu jest na to podatny w mojej opinii nie jest dobrym źródłem.