Просмотр поста

Вот подробней - перед записью сообщения в базу идет проверка адреса в теге, и если адрес удовлетворяет требованиям то уже происходит проверка является ли адрес изображением! Разрешены символы в адресе - _ % ~ . / + и все, никаких других писать нельзя, ну в смысле скрипт не пустит. Если вздумается писать спец.символы в url формате, то предупреждаю символы ' " & ( ) : < > вырезаются. Ну вроде пока все. Код тестировал, явного xss не получилось.