Originalmente inviato da
Gianluca
Penso che il consentire all'admin di postare dell'html nei commenti sia cosa voluta e comunque ininfluente, anche perché l'html dei commenti dei visitatori è invece filtrato.
Se l'admin volesse inserire un javascript per fare un XSS potrebbe semplicemente inserirlo in un post, ma farlo non avrebbe comunque senso dal momento che lui è l'admin e ha già di suo il controllo su tutti gli utenti del blog.
Si certamente.. ma non alterando il codice ed eseguendo solo sul post diavolo... l' input dovrebbe essere sempre filtrato.... ma cmq speriamo bene...
Con un .htaccess dovresti essere in grado di bloccare l'accesso a quei files forzando appunto un 404