Показать сообщение отдельно
  #5 (permalink)  
Старый 01.03.2011, 20:24
Новичок на форуме
Отправить личное сообщение для killer8080 Посмотреть профиль Найти все сообщения от killer8080
 
Регистрация: 01.02.2011
Сообщений: 6

Вместо mysql_fetch_array логичней было бы использовать mysql_fetch_assoc

micscr,
Интересная статья по безопасности, но у автора там есть один прокол
Цитата:
И отфильтровать какие то символы тут не получится, да и не нужно это. Нужно просто определить условия, допустим не пускать ничего, что не начинается с http:// А внешние ссылки нас особо не волнуют. Это же касается и картинок:
$text = !empty($_POST['text'])?$_POST['text']:NULL;

$text = preg_replace('#\[url\]http://(.+?)\[/url]#',"<a href=\"http://$1\" >$1</a>",$text);    
$text = preg_replace('#\[img\]http://(.+?)\[/img]#',"<img src=\"http://$1\"  border=\"0\" />",$text);

echo $text;
при такой фильтрации провести XSS проще пареной репы.
Ответить с цитированием