символ "\" это внутренняя фича ПХП - так называемая экранировка. Ее можно отключить в пхп.ини (magic_quotes_gpc=Off) файле и многие продвинутые так и поступают. ЯББ написан именно на пхп. его можно свободно скачать, например попробуй эту ссылку:
http://tomahawk.hoha.ru/download/YaBB_1Gold_SP1.3.1.rar
Есть много версий, выясни какая именно там установлена и попытайся достать исходники именно этой версии. Поставь ее себе и тренируйся=)

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 15 2003,20:09)</td></tr><tr><td id="QUOTE">реально ли обойти кавычки?[/QUOTE]<span id='postcolor'>
Думаю что нет.

Если атрибут в кавычках (типа color=&quot;мой цвет&quot, и символ &quot; преобразуется в &amp;quot;, то выйти за пределы атрибута не удастся.

Символ же \ может спасти только внутри джаваскриптовского обработчика. Внутри атрибута color он ни на что не влияет.

Radid Rabbit, фэнькс за ссылку, именно та версия.. За инфу тоже фэнькс. Будем эксперементировать.
Алгол, жаль... Спасибо, что объяснил.
Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?.. Аватары обрубать, помоему необязательно, но проверить защищенность не мешает..Это так, к слову..

Ха, тут один чел так и делал. Я просто вижу ты тут недавно=) У некого &quot;next&quot; вместо аватара именно скрипт и стоял=) Он таким образом айпишники мотрел (разрешение экрана, браузер, т.п.) но совершенно необязательно для такой тривиальной задачи было снифера прописывать, достаточно просто вставить свою картинку а потом посотреть логи сервака=)))

Мда, оригинально - ломать форум о взломе чатов и форумов. Прикольно=))

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 16 2003,20:18)</td></tr><tr><td id="QUOTE">Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?..[/QUOTE]<span id='postcolor'>
В аватор скрипт вставить нельзя (только сниффер), зато скрипт можно вставлять в некоторые IB коды (типа [color]).
Можно конечно заблокировать все эти коды, но не хочется ущемлять возможности форума.
Главное что админка в этом форуме хорошо защищена, и через скрипт к ней доступ так просто не получишь ))

Зачем блокировать колор целиком? Что нельзя изящнее подойти?

Что бы подойти изящнее, нужно копать исходник. А у меня ни малейшего желания делать это - нет.

Ну тода давай свой исходник сю я покопаю=))) -- дассист шютка....