Dangerous Function: Unsafe Regular Expression

Las funciones que no se pueden usar de forma segura nunca deben usarse.

Ciertas funciones tienen un comportamiento peligroso, independientemente de cómo se utilicen. Las funciones de esta categoría a menudo se implementaron sin tener en cuenta la seguridad.

Ejemplo 1: dada la URL http://www.example.com/index.php?param=..., el siguiente fragmento de código de php dentro de index.php imprimirá el valor del parámetro de URL param (transferido en lugar de "...") en la pantalla si coincide con la expresión regular de POSIX '^[[:alnum:]]*$' que representa a "cero o más caracteres alfanuméricos":

  <?php
    $pattern = '^[[:alnum:]]*$';
    $string = $_GET['param'];
    if (ereg($pattern, $string)) {
      echo($string);
    }
  ?>

Mientras que el Example 1 funciona como se esperaba con la entrada alfanumérica, debido a que se utiliza la función ereg() no segura para validar la entrada contaminada, es posible llevar a cabo un ataque de scripts de sitios (XSS) mediante la inyección de un byte null. Al pasar un valor para param que contiene una cadena alfanumérica válida seguida de un byte null y, a continuación, una etiqueta <script>(por ejemplo, "Hello123%00<script>alert("XSS")</script>"), ereg($pattern, $string) seguirá siendo true, dado que la función ereg() ignora todo lo que sigue a un carácter de byte null al leer la cadena de entrada (de izquierda a derecha). En este ejemplo, esto significa que la etiqueta <script> inyectada seguida del byte null se mostrará al usuario y se evaluará.