Мусор в textarea

[xobotyi]

есть проблема которую не могу решить, бьюсь дня наверное три уже, гугл отмалчивается.

итак, есть textarea:

<form id="add_comment" method="POST" action="/includes/comments.php">
	<label>Оставить комментарий</label>
	<textarea autocomplete="off" name="text" required></textarea>
	<input type="hidden" name="action" value="add"/>
	<input type="hidden" name="post_id" value="<?=$postData['id']?>"/>
	<input type="submit" value="Отправить" />
</form>

есть код js который аяксово отправляет коммент на сервер:

$('#add_comment').submit(function(e){
	e.preventDefault();
	e.stopPropagation();
	
	$.ajax({
		url: '/includes/comments.php',
		type: 'post',
		data: 'action=add&text='+$('#add_comment textarea').val()+'&post_id=<?=$postData['id']?>',
		dataType: 'text',
		beforeSend: function(){
			$(this).find('input[type="submit"]').attr('disabled', 'disabled');
		},
		success: function(data, textStatus){
			if(data.status == 'OK')
				location.reload();
			else
				$(this).find('input[type="submit"]').removeAttr('disabled');
		}
	});
});

ну так вот, при считывании текста из textarea, множественные пробелы приобретают совершенно ужасный вид, которые невозможно обработать на сервере. Строка

тут коммент, а тут                                               много пробелов

превращается в (это после выполнения htmlentites, со стороны сервера)

��� коммен�, а ���                                               много п�обелов

почему такое происходит и как от этого избавиться - я не знаю. Достоверно известно, что косяк происходит в момент считывания текста из textarea. Если отправляемый текст ручками подменять на что-то еще и отправлять на сервер, все приходит в адекватном виде, а так.. жуть в общем=(

[jsru_]

мне кажется проблема с кодировками, какая кодировка стоит у сервера и у файлов?

[danik.js]

xobotyi, а где можно вживую посмотреть?

[xobotyi]

Сообщение от jsru_

мне кажется проблема с кодировками, какая кодировка стоит у сервера и у файлов?

кодировка страницы: UTF-8 без BOM
кодировка скрипта-обработчика на сервере: UTF-8 без BOM
жесткая кодировка nginx: UTF-8

[xobotyi]

Сообщение от danik.js

xobotyi, а где можно вживую посмотреть?

нигде%) развернуто на корпоративной ВПНке

[Aetae]

Вообще хз что там на сервере, но

encodeURIComponent($('#add_comment textarea').val())

не помешало бы.

[danik.js]

Сообщение от Aetae

не помешало бы.

Дык уже ведь в функции $.ajax обрабатывается, не?

[danik.js]

Сообщение от xobotyi

value="<?=$postData['id']?>"

Надеюсь автор этих строк вкурсе про XSS?

Сообщение от xobotyi

это после выполнения htmlentites, со стороны сервера

То есть до выполнения - все в порядке?

[xobotyi]

Сообщение от Aetae

Вообще хз что там на сервере, но encodeURIComponent($('#add_comment textarea').val()) не помешало бы.

оно ведь самим аяксом выполняется..

[xobotyi]

Сообщение от danik.js

Надеюсь автор этих строк вкурсе про XSS? То есть до выполнения - все в порядке?

в каком месте тут XSS уязвимость?)
$postData['id'] - ID записи в бд, эта циферка общедоступна и не скрывается, все что прилетает на сервер от юзера чистится от тегов и прочего мусора, а еще полсотни раз проверяется=)

А касаемо до - нет, не впорядке, php не может выполнять например preg_replace('/\s+/',' ',$comment_text); потому что для php там нет пробелов, там одни мнемоники, два из которых хрен-пойми откуда взялись..