Николай, вот здесь ты ошибаешься. Когда заносишь в базу данных ты обрабатываешь mysql_real_escape_string это защищает от инъекций, но когда берешь данные из базы и выводишь в браузер нужно обработать htmlspecialchars иначе есть возможность подхватить xss
© 2026, JohnCMS