В чем разница? В чем лучше? Я имею введу вообще, если, например, класть пароль и т.д. или закинуть какой-нибудь: <script> alert('Hack'); </script>, что в последствии будет выводиться без защиты от XSS. Можно ли как-то подменить данные?
Из-за того, что я думал, что можно подменить данные, то если не фильтровать, можно было бы запихунть какой-нибудь скрипт ) --- Добавлено --- Просто я думал: принцип кеш-монстров в том, что они работают по принципу сессий или куки, так как я не вглублялся в изучение )
Ты не ответил на вопрос. У сайта две стороны: серверная и клиентская. Так вот, на какую их них направлена атака XSS? И на какой стороне memcached
Xss позволяет запустить код у клиента и угнать куки на свой сервер, а там сессия. Ну дальше понятно, что если у тебя только по sessionID авторизация, то можно получить доступ с правами этого пользователя. А данные в мемкеше как и в любом другом месте можно подменить выполнив свой код на сервере, а не у клиента. Если можешь выполнить произвольный код, нахрен тебе менять мемкеш - делай себе shell сразу.