Witam,

Piszę prosty CMS do newsów, i przyszło mi na myśl takie rozwiązanie

[PHP] pobierz, plaintext 
<textarea name="tresc">'.$_POST['tresc'].'</textarea><br />Treść newsa
[PHP] pobierz, plaintext 

Wiadomo, że jeżeli nie byłby to CMS, to przefiltrowałbym zmienną z $_POST odpowiednią funkcją.
Mechanizm jest taki, że jeżeli coś będzie niewypełnione czy za krótkie, walidator nie puści tego, ale formularz wyskoczy z wpisanymi wcześniej danymi.

Moje pytanie tylko jest takie: czy to jest bezpieczne? Czytałem "conieco" o atakach injection, natomiast specem od tego nie jestem, czy takie tylko przefiltrowanie zmiennej i wrzucenie w formularz może być wykorzystane do ataku? (powiedzmy w sytuacji jak to by było publiczne, bo raczej w panelu zarządzania stroną nikt nie będzie mieszał)?

Prosty test:

[PHP] pobierz, plaintext 
$a ="'";
echo 'test'.$a.'test';
[PHP] pobierz, plaintext 

wyświetli: abc'abc,

czyli nie powinno być z tym problemu.

Ja takich danych nie flitruję.

Pozatym, jesli piszesz CMS, to pewnie newsy będzie dodawał administrator i nie będzie mu zależeć na niszczeniu serwisu.