Сообщение от dmitriymar
|
Открываете возможность для sql инъекции.
|
При чём тут SQL инъекция?
Сообщение от sommer
|
Я понимаю, что с точки зрения безопасности это не сильно хорошо отображать введенный пользователем текст в виде html.
|
Отображать вводимый пользователем HTML вполне безопасно. Другое дело, когда злоумышленник имеет возможность сохранить HTML код (в теле сообщения, скажем) так, что его увидят другие пользователи, либо указать такой запрос, что код будет выполнен у другого пользователя автоматически (или по некоторому действию).
А юзер и так имеет возможность выполнить произвольный код на страничке у себя в браузере: банальный протокол javascript
:, например.