Так в принципе не плохо, SQL-inj нету, а чтобы небыло XSS проверяй на валидность все данные перед добавлением в базу =)

Мдя.

1. инсталляшку вручную писать? можно было бы хотя бы скуль-запросы вынести в отдельный файл.
2. мде, strpos'ом умно делать анти-xss и антискуль
xss: striptags(); htmlspecialchars(); htmlentities();
sql: mysql_escape_string(); mysql_real_escape_string;

3. фильтровать твоим способом нужно не только "`", но и другие кавычки.
4. аналогично c XSS, если ты полагаешь, что все XSSки содержат <.script>, ты глубоко заблуждаешься.

вообще продукты нужно писать с учетом конфигурации сервера, для начала, с учетом результата get_magic_quotes_gpc

резюме: бажный недопроект. не в обиду, но над ним еще работать и работать...

ты меня с кем-то путаешь определенно. Nitrex из ру-24, между прочим, совершенно другой чел.

"апсирания" я не вижу, но выкладывать небезопасные скрипты на форуме по безопасности не совсем логично.

Помница кто-то тоже кидал какой-то свой софт и типа скуль запросы самому вводить =) не ты ли нитрех?))))))) аяяй))))
ладно-ладно хватит парня апсирать, ы и так наем, что ты мега программер =)))

так я и просил "обосрать"(оценить/дать советы) в первом посте

Ты используешь двойные ковычки а фильтруешь одинарные...

Для осуществления xss не обязательно открывать тег script

вот с нормальной фильтрацией:
http://dump.ru/files/j/j3889184444/
пс инсталлер будет вместе с img.php

да ничего, плохо смайлов нету=((((

Там опять нету фильтрации.

Надо приравнивать значение , функция возвращает значение а не изменяет его

gemaglabin: с фильтрацие sql также?