|
strip_tags($_POST["message"]) - это зачем? Не strip_tags, а htmlspecialshars при выводе данных на страницу. А strip_tags($_POST["name"]) так это вообще... Добавлять комментарии по уму разрешают только регистрированным пользователям, а зарегистрировать в качестве имени теги, это вы уж на этапе регистрации должны отсевать.
То есть все что там написано по обработке входных данных полная лажа, и самое страшное она не исключает sql-инъекции. Читайте в разделе mysqli о подготовленных запросах и метках, и поступайте так, либо сами экранируйте входные данные.
|