こんにちは, [XSS] さん!

() も ` も駄目なら, 一体どうすれば良いのでしょう?

inject

src

<script src="hook.js"></script>
<?php
// by escaping the payload you won't break this system, haha! :-)
$escaped preg_replace("/[`()<>&#]/"""$_GET['payload']);
?>

<h1> こんにちは, <span id="<?= $escaped ?>"><?= htmlspecialchars($_GET['payload']) ?></span>  さん!</h1>
<p> () も ` も駄目なら, 一体どうすれば良いのでしょう? </p>

<h1> inject </h1>
<form>
    <input type="text" name="payload" placeholder="your payload here">
    <input type="submit" value="GO">
</form>

<h1> src </h1>
<?php highlight_string(file_get_contents(basename(__FILE__))); ?>