Безопасность от тега script !

а там же стр реплейсом если например / слеш вырезать пашет? если пашет значит ошибка в функции.

А теперь в эту функцию не могу добавить htmlspecialchars();
выдает ошибку
htmlspecialchars() expects parameter 1 to be string, array given in Z:\home\test1.ru\... (

могу пшибится но вроде ругается на то что не строка а массив обрабатывается функцией

34, ага, справился. я тупо каждую переменную обрабатывал

еще вопросик. Например такой путь

<?
$fp=fopen("$maindir/forum/data/users/$login.log","r+" );

я пишу так

<?
$fp=fopen(''.check($maindir).'/forum/data/users/'.chec k($login.log).'','r+');

Будет ли от этого какая нить польза и прально ли написал?

Подобную шляпу выкиньте в топку нах...
$msg = str_replace('<','',$msg);
$msg = str_replace('./','',$msg);
$msg = str_replace("'","",$msg);
$msg = str_replace('"','',$msg);
$msg = str_replace('>','',$msg);
$msg = str_replace(';','',$msg);
Достаточно сделать так против XSS:
[code]
<?php
$message = htmlspecialchars($message, ENT_QUOTES);
?>
[/copy]
А всякие вырезания знаков str_replece'ом - в топку!
Нужно вырезать только ту последовательность знаков, которая используется в качестве разделителя в файлах (это в случае, если данные хранется НЕ в БД, а в файлах!).

Мля...

<?php
$message = htmlspecialchars($message, ENT_QUOTES);
?>

хтмлспециалчарс не всегда применим. иногда надо разрешить выполнение каких ни будь тегов например. + <бр> вылазиет вместо переноса строки.
а че дает энд квотс? а то я че то не вникал.

Ну а striptags ?

$msg=striptags($msg,"<script>");

#39,
ENT_QUOTES - разрешить трансляцию любых кавычек
ENT_NOQUOTES - запретить трансляцию любых кавычек