День добрый, пишу гостевую...
почитал про htmlspecialchars

неужели пользователь может вставить на запуск пхп код, если я ему разрешу вставку html? как это?

MpaK999, никак. Мало еще вставить код, нужно, чтобы ты передал на него управление. То есть, если ты записыавешь на диск введенный пользователем код как часть страницы, а потом эта страница вызывается, то он исполнится. Если же ты просто выводишь то, что введено пользователем, на экран - то нет.

@TSV, вот и я так думаю, спасибо...

о какои коде речь,
если о яваскрипте то он вызывается на ура, если выводить все что пользователь пишет
если скрипт на стороне сервера, то конечно это больше возни займет

jettero, " на запуск пхп код"…
ява скрипт понятно, но вот как он сможет осуществить запуск своего кода если он в echo $user_text; ?

MpaK999, никак. Но можно из вредности сделать echo strip_tags($user_text);

@TSV, во-во!

MpaK999 писал(а):

но вот как он сможет осуществить запуск своего кода если он в echo $user_text; ?

В этом случае -- никак. Но я в исходниках реальной гостевой книги видел следующее: каждое сообщение записывалось в отдельный .txt-файл, к которым затем применялась функция include.

Маниакальное использования include вообще очень характерно для начинающих.

Crazy, И не говори. Как будто readfile() в природе и вовсе нету. Бяка еще и в том, что по include код исполнится вне зависимости от того, обрабатывается или нет расширение вставляемого файла php или нет. То есть код из .txt - исполнится.