Статусы Error и Warning в версии 0.4.7
Уважаемые пользователи Find-XSS.net, обращаем Ваше внимание на то, что с совершенствованием алгоритма XSS-сканера постепенно изменяется и смысл присваиваемых им статусов. Так, в начальных версиях сканера присутствовал статус Notice, предупреждавший пользователя о существовании возможной опасности. Несмотря на тот факт, что 50% случаев этим предупреждением можно было пренебречь, в последующих версиях сканер стал отслеживать все, что касалось этого статуса. Поэтому мы приняли решение упразднить Notice, оставив только статусы Error и Warning. В предлагаемой Вам обновленной версии (0.4.7) сканера и статус Error, и статус Warning означают наличие уязвимости. Разница между ними заключается лишь в том, что статус Error определяет конкретный тип уязвимости: XSS, SQL injection или же какой-нибудь другой активный код; а статус Warning означает, что во время проверки сканер обнаружил уязвимость SQL injection или XSS в теле функции, и Вам нужно проверить как параметры, получаемые этой функцией, в указанной строке кода, так и их использование в теле функции.
Warning статус
Принцып действия изменен начиная с версии 0.3.0
>Статус Warning предупреждает о возможной уязвимости. В частности он предупреждает о потенциальных ошибках таких как например присваивание переменной значения например $_GET или $_POST без проверки на XSS или SQL Injection. Кто то может сказать - но я проверяю эту переменную каждый раз при ее дальнейшем использовании. Такой подход не оптимальный, лучшим решением является проверка непосредственно при получении параметра один раз, и дальнейшего использования его во всей программе не задумываясь об уязвимости. Приведу пример: