Не ожидал такого от WP. На странице администрирования, ну, там где виден список поисковых слов, вместо текста – элементы управления. Т.е. поисковая фраза состояла из тега, который WP некорректно переварил, выдавая на клиента. В частности, поисковая фраза выглядит как
<input type checked>+javascript
А на странице видно поле для ввода данных. Я не собираюсь крутить это дыру, но не исключаю варианта, что через поисковый запрос можно выполнить неприятный XSS. Единственное замечу, что так не должно быть: ни с точки зрения безопасности, ни с точки зрения отображения.
В общем, бдите, господа программисты и будьте более внимательны при написании приложений!
Более родвинутые знатоки движка WP меня могут поправить. AFAIK, WP обрезает поисковую строку. И еще замечание. По поисковому запросу-эксплоиту должен быть найден блог.
Не в тему. Мой блог был найден по фразе «не крути мне яйца» 
)). Без комментариев.
Данные тут и в правду хреново обрабатываются, всяческие strip_tags и прочая фигня сильно портит этот двиг. Хотя не смотря на то что он дерьмо, лучше него не найлёшь (разве что самому написать, но это долго, да и за всеми мелочами не уследишь)
Комментарий от Vladson — Сентябрь 14, 2006 @ 5:24 дп
Если есть желание и цель, то можно написать и самому. А если есть возможность доработать напильником вопросы секурности, то почему бы и нет?
Комментарий от 4matic — Сентябрь 14, 2006 @ 9:27 дп