Новые комментарии

ну да. это тоже вариант. если беспокоится что туда чето всыпят.
Написал: Proton 14.11.2009 / 10:48

Лично я храню в базе текст с фильтрацией хтмлспешлчарс. При выводе уже ббкоды, линки подсвечиваю...
И при редактировании ненадо писать лишний раз хтмлспешлчарс. Например <textarea>&amp;</textarea>: в форме будет &, а не &amp;
Написал: Артур 14.11.2009 / 10:43

ок!
Написал: Proton 14.11.2009 / 10:40

http://php.su/functions/?f=ucfirst&choice=info
Это типа аналог твоей функции one_letter_big
Написал: Артур 14.11.2009 / 10:38

а че там писанины? как обычно взяли , обработали и вывели. При этом в остальных местах экранируется перед записью . Так что это специально для редактирования текста в том виде каким он был написан, а не испорчен. Так даже когда гость пишет ссылку, ее конвертирует в адрес сайта, а в редакторе виден адрес который писал гость. Мне лично показалось проще приготавливать текст для вывода на экран при чтении чем регулярками резать обратно в исходный текст в редакторе. Тем более что само чтение (цикл из7,10 эпизодов) не вызывает большой нагрузки. Всего лишь до 12 микросекунд.
Написал: Proton 14.11.2009 / 10:35

А редактировать как? Когда надо воз вернуть назад все теги и ссылки. Да и символы все в форму. Муть короче.
Написал: Proton 14.11.2009 / 10:30

Да просто писанины в коде с хтмлспешлчарс больше да и не так уже много символов при записи будет
Написал: Артур 14.11.2009 / 10:26

и опять же таки нет! я перед выводом в форму экранирую $mess=htmlspecialchars($array[2]);
А то думал хана уже движку.
Тут другая проблема. я то уже исправил себе.
в profil.dat на 17й строке надо поставить
$id_user=$id;
иначе не пускает редактить. плохо проверен был.
Написал: Proton 14.11.2009 / 01:55

хотя если речь про форму удаления, то да.
Написал: Proton 14.11.2009 / 01:41

Я не знаю где может там быть XSS. экранировал все как надо. И не надо наговаривать без доказательств!
Написал: Proton 14.11.2009 / 01:31