опрс о обработке данных (форма создания тем и ответов).
Перед внесением данных в базу
strlen() == 0 или > 3000 символов
поле заголовка - strip_tags() и addslashes()
поле сообщения
$message = htmlspecialchars($message);
$message = addslashes($message);//интересная фича здесь все равно добавляются слеши перед quot
$message = nl2br($message);
Перед выводом
$text = stripslashes($text);
$text = str_replace("{b}", "", $text);
$text = str_replace("{/b}", "", $text);
$text = str_replace("{QUOTE}", "<div> ", $text);
$text = str_replace("{/QUOTE}", "</div>", $text);
$text = str_replace("{PHP}", "", $text);
$text = str_replace("{/PHP}", "
", $text);
кроме этого замена с помощью регулярных выражений спец сиволов email и http://
--------------------------------------------------------------------------------
Вроде все получается но настораживает одно,в коде phpBB и скорее всего и Булетня тоже
проверке данных и обработке спец символов уделено намного больше кода.
Вопрос - чего еще нужно сюда добавить?
Xander
не вижу смысла в проверке мэйла - если человек хочет ввести фигню, он ее введет.
и ограничение на слова длиннее 30 символов по-моему глупое.
Почему Ромик не написал здесь (бред удален),может это не бред и поверку емайла
действительно не нужно производить и ограничивать длинну записи тоже,пусть вводят длинносивокбыльныйбред,
ведь все равно введут.
BanisherЗнак "%" на входе надо заменять спец.символом или экранировать.А то mysql будет неправильно интерпретировать запрос...
Учту,хотя ни в одной статье я не читал именно про этот символ
RomikChefбольшинство проверок показывают, то ты не понимаешь их смысла.
а в этому случае я не вижу, что обсуждать.
А я ничего обсуждать и не собирался,я вопрос задал.Хотя странно слышать от тебя такое насчет
проверок,кототые ты сам же рекомендовал одной леди (повторяюсь),и взятые мной по вот этому адресу
http://phpclub.ru/talk/showthread.php?s=&threadid=43521
Наверное в этих функциях заложен какойто скрытый смысл,кроме того для которого эти функции предназначены.
Xander...а при виде замены PHP на PRE и QUOTE на DIV вообще плакать хочется.
Экий ты сентимент.Очма странно но другая версия Булетня с РНРКлуба использует тэг для вывода
пхпешного кода в постах,а позволяет избавится от форматирования текста.А уж чем ДИВ для цитат не угодил я не знаю.
Собственно поэтому и спрашиваю,отстой это понятно,но аргументы хотелось бы услышать.