Saint, я той проверкой вешал эти ваши dcms через гостевую. Вверху всех страниц эфир, пишешь сообщение с тегом, невидимое и безобидное везде, потом ставишь sleep(3600); и уходишь

Saint, так а как загонишь xss в регулярку, где разрешены лишь : . - / ?

bibilink, так эту информацию я и так буду показывать, лишь бы куки не трогали.

Saint, пока что я решил- пусть грузят откуда угодно, а не засоряют сайт. Сделаю проверку регуляркой, а когда ресурсов перестанет хватать- буду докупать место, и тогда уже сделаю. А сейчас размышляю над выражением, которое будет фильтровать примерно
([a-z0-9_.:\/])\.(jpg|png|gif|еще чет)

Anvar, то, куда вставлять будут- умрет гораздо быстрее

Saint, так а как тогда вставлять их? Ну вот захотят они в статус запихнуть картинку "С добрым утром", либо набор скринов например. Надо чет простенькое, для типичных хомячков. И как быть? Как они выберут расположение файла?
Для каждого статуса заново загружать? А удалять потом как?

bibilink, в любом случае возвращает цифру 3, что бы я этой функции не давал. Наверное она работает только с локальными файлами.

Хочу написать bb-код [img], и чтобы не извращаться над конструкциями, решил наверняка проверить, картинка ли в этом теге с помощью getimagesize(), и если выдаст результат, то превращать в <img src="image.png">, либо игнорировать/заменять на картинку с надписью no image.
Решил проверять напрямую, а не загружать файл, не тратить зря расход трафика, и ресурсы на всякие curl. Специально для проверки создал скрипт с единой функцией sleep(60);, и... ждал минуту, чтобы получить пустой результат. Собственно этим sleep можно завалить большинство wap-сайтов, которые берут картинки извне. Как с этим бороться минимальными средствами? set_time_limit(1); - норм решение. Только боюсь, что прекратит выполнение, и не обработает все остальные реплейсы. Кто что посоветует?