обработка нового поста в форуме
 

обработка нового поста в форуме


достаточно ли пропускать пост через данную функцию чтобы обезопасить форум?
при условии что пока что там нет псевдо тегов и смайлов

вот моя альтернатива:
+ nl2br() и этого будет достаточно. В твоем же примере абсолютно ненужным являются строчки
Первые две уже обрабатываеются при htmlspecialchars() с флагом ENT_QUOTES вроде. А stripslashes() вообще не нужен, коли ты преобразуешь все ковычки до этого.
Непонятно зачем делаешь:
Вообще не понятно. \r и \n абсолютно никак не влияют на отображение html`а. Тем более что ты все равно потом делаешь nl2br().
Не понял зачем нужна
Вообще не понял =)))

Опять же, Дикс, твоя основная ошибка. Опять укажу на нее все тем же анекдотом:
"Береженого бог бережет", - сказала монашка, надивая презерватив на свечку. Проще будь. Начни с того, что разберись, какие именно символы тебе нужно отфильтровать. И уже потом пиши код.

И еще одно. Заменяя двойную, одинарную ковычку и перфекс на "... Ну это короче не правильно. Если я пишу на форуме перфикс, значит я хочу чтобы именно перфикс стоял там, где я его поставлю. А не двойная ковычка, как у тебя. К пример я пишу , а твой форум выдаст мне . Не хорошо это

ох, Тринукс. даже не знаю как всё объяснить чтоб меня поняли.
имел я глупость поставить перед собой задачу - написать движок сайта да ещё и со внутренним форумом.
ничего подобного раньше не писал, кроме простого форума и простого сайта в отдельности.
да ещё и подпрягся сделать на этом движке сайт для своей тренажёрки, за два месяца бесплатных хождений туда (1100р. экономии)
Вот и мечусь теперь из одного куска кода в другой.
Пишу основу - главные функции, чтобы всё работало, а мелочи типа авторизации или фильтрации постов оставляю на потом. Но чтобы они всё равно уже были,
как ты мог заметить я леплю туда что попало. Ты видел мою тему, где инфа о юзере пишется в куки и читается из них. Таким же образом я выдрал готовый код фильтрации из ExBB, но толком не разобравшись, лишь чуток его подрезал.
Такие тонкости как флаги ENT_QUOTES я если и изучил при прочтении книги, то ещё не успел усвоить и научиться применять.

Допишу основу и начну шлифовать код, тогда ваши советы мне очень и очень помогут.
Большое спасибо, Тринукс, чтоб я без тебя делал =)

2Trinux не злоупотребляй двойными кавычками :) кстати говоря в большенстве случаев достаточно фильтровать ' и < . Причем первый символ чтобы не было выхода за пределы атрибута value и предотвращения атаки типа sql-inj (есесино при передаче чисел intval() Дополнительно), а второй, чтобы не было возможности вставлять свои теги.

2 Che-Guevara
Ты не прав. А что если у меня атрибуты тега заключены не в одинарную ковычку, а в двойную? Значит нужно фильтровать обе. Далее. Перфикс. Как ты уже, надеюсь, знаешь (а знать ты это можешь, почитав инфу на главной странице antichat.ru) перфикс юзается в IE как символ начала\конца комментариев. А значит это реальная опасность вхождения в атрибуты тега. Значит нужно фильтровать и его. Далее, обратная треугольная скобка то е обязательна и то же при нефильтрующемся перфиксе дает несколько больше возможностей. Точнее те же, но в более простой форме. Обратный слеш... ну пишу я, к примеру
а если не фильтровать его, то получу
А это уже не хорошо.

2 Дикс
Перестань выкать =) не такой я уж и старый =)

ещё забыл спросить это зачем?

:d я имел ввиду всех античатовцев :)
кстати, вам сколько лет? :)

ещё, извините ламера, что такое "перфикс"? или префикс?

Форум сожрал, там та же одинарная ковычка, тольво в десятичной кодировке.
перфикс или префикс - сам ХЗ, но это - `

ээ, а каг бы мне узнать десятичную кодировку кавычки?
и ещё интерпретатор выдаёт ошибку на строчке
где б мне узнать десятичный код бэкслеша?

писец. писать движок с форумом, не зная основ пхп.

Фтыкай http://us2.php.net/language.types.string до полного всасывания материала.