Я вот написал свою первую в жизни гестбук!
И хочу посоветоваться, что можно сделать ещё
в плане секюрити, кроме как фильтрация данных
htmlspecialchars, addslashes, ограничил доступ
к скрипту до 1-раз в час(не жестоко?) и так
помелочи...
Я просто незнаю всех тонкостей в этом деле.
Просветите чемнибудь.

slaine
ограничил доступ
к скрипту до 1-раз в час(не жестоко?)
ну сам прикинь - тебе бы хватило? :)
Судя по htmlspecialchars, addslashes - php/mysql ?
тогда:
- Проверить register_globals в off и использование только $_GET['что_то_там'] и $_POST['что_то_там']
- как и что инклюдится?
- какие права у юзера, который "коннектится" к бд на бд?
Пока больше ничего в голову не приходит: маловато информаци и вообще жарко =)

mar
все это хорошо, но как правило ломают с помошью движка стилей...

Vlad Drakula
это для гостевой-то?
на самом деле не очень поняла - ты имеешь в виду xml? css? просто шаблоны? тогда какие? отпиши поподробней, pls

mar
1) теги разметки сообщений
2) евал при исполнении шаблонов

ну eval вставлять не надо, а теги разметки - не уверенна, что опасно, - не ткнешь в пример?

mar
опамен JS внутри тега А

- как и что инклюдится?
иннклудится у меня подключение к БД, страничый вывод, удаление старых sid-ов..
так вот:
$conexion = "conexion.php";
include $conexion;
- какие права у юзера, который "коннектится" к бд на бд?
Поставить привилегии, как это делается? я незнаю.
mar
опамен JS внутри тега А
Постраничный вывод генерирует такие ссылки:
echo "<a href=".$URL."?start=".$num.">".($i + 1)."</a> . ";
я обрезал им http:// и ftp://, что ещё можно с ними сделать?

slaine
нет... я о том как организуется теги разметки в нутри сообщений (если они таковые есть...)