Dangerous Function: Unsafe Regular Expression

As funções que não podem ser usadas com segurança nunca devem ser usadas.

Certas funções se comportam perigosamente, independentemente de como são usadas. As funções nesta categoria foram frequentemente implementadas sem consideração pela segurança.

Exemplo 1: Dada a URL http://www.example.com/index.php?param=..., o seguinte trecho de código php em index.php imprimirá o valor do parâmetro de URL param (passado no lugar de "...") na tela se ele corresponder à expressão regular POSIX '^[[:alnum:]]*$' que representa "zero ou mais caracteres alfanuméricos":

  <?php
    $pattern = '^[[:alnum:]]*$';
    $string = $_GET['param'];
    if (ereg($pattern, $string)) {
      echo($string);
    }
  ?>

Embora o Example 1 funcione conforme esperado na entrada alfanumérica, como a função ereg() não segura é usada para validar a entrada contaminada, é possível realizar um ataque cross-site scripting (XSS) por meio da injeção de byte null. Passar um valor param que contém uma string alfanumérica válida, seguida por um byte null e uma marca <script> (ex.: "Hello123%00<script>alert("XSS")</script>"), ereg($pattern, $string) ainda retornará true, já que a função ereg() ignora tudo após um caractere de byte null ao ler a string de entrada (esquerda para direita). Neste exemplo, isso significa que a marca <script> inserida após o byte null será exibida para o usuário e avaliada.