Тема закрыта!
MazaXakep, my_esc() выполняет свою функцию c ним всё в порядке и работает так как и должен .
нет дыра не конкретно в теме форума .
Что по твоему там по мимо my_esc() ещё должно быть?))
my_esc() отвечает на входящие данные . как и сказал выше . он справляется со своей задачей .
если ты думаешь что дырка в нём ,то тебе стоит понять его ,понять что он делает . заглянув в функцию и прогулив её точно применение.
my_esc это mysql_real_escape_string защищает от sql иньекций
там такой код
$name=my_esc($name);
$msg=my_esc($msg);
а должно бить
$name=my_esc(htmlspecialchars($name));
$msg=my_esc(htmlspecialchars($msg));
Бишаная каза, на свой код нету времени ))
пиши в аську . может чёт придумаем .ты про тот ajax движок что пол года назад показывал?
не должен быть . использование htmlspecialchars при входящих данных это быдлокодерство чистой воды . почитай любую документацию о php . где будет сказано что по дефолту людям совеют mysql*_real_escape_string на входящие данные и htmlspec... и ему подобные на исходящие данные . данные нужно записывать в чистом виде . в том в котором они были введены . но не всегда . в некоторых случаях применяется подобный фильтр . от чего кстати вечные жалобы всяких переносов текстов или проблем со всякими кавычками .про документацию . если ты считаешь что твой совет лучше чем совет от тех кто занимается разработкой php ,то подумай сам .
Так что с my_esc всё в порядке . хотя в dcms небольшую регулярку я бы добавил.
в публичных движках типа обсуждаемого dcms . my_esc() выполняет свою функцию верно . с output_text() спорно . но в большинстве случаев тоже всё верно . организация этого дела хромает . но со своими задачами справляется . процентов 90% людей кто юзает dcms годами . даже не знаю о output_text() о его возможностях . о том что аргументы в функции не просто так там присутствуют . и даже спустя столько времени не понимают зачем они там и юзают htmlspecialchars . тут они только от части правы .
Так и хочется снять с языка, "невзъебЁнный хакЫрь", вижу много свободного времени есть, продемонстрируй чего-нибудь по-серьёзнее, это видели, проходили, углубляйся.
Сотворяю непознанные чудеса
Кот™, процитируй пожалуйста пост ,где я тебя подвёл к такому мнению .
Нет демонстрировать я нечего не буду . Да и новичок я в этой области ,по меркам всего интернета . посему смысла это не имеет . если бы ты обладал немного большим багажом знаний, ты бы понимал ,что подобные xss это шалость . и человек который оценивает это за признаки школоты ,вероятнее всего просто имеет такой круг общения, или сам им является .не спорю ,что бывают интересные и сложные виды атаки . которые в целях познаний интересно протестировать на своих проектах и не только . они исключение .
Добавлю что выше описывалось что тема не об этом . подобные сообщения и такая недальновидность , лечится саморазвитием . Дальновидность это очень хорошие качество ,которое очень поможет в жизни . стоит углубиться.
------
Что в твоём понимание серьезное ? inj , csrf , брут, ssi , Mailbombing (если кто о ней помнит) doss или dos ?
если сравнить с остальными , джон вполне нормальный .
Правила: 
