Фильтрация ввода - Предложения и пожелания

Практически во всех встреченных компонентах в той или иной степени пользовательский ввод фильтруется не самым хорошим способом, что меня всегда очень расстраивает. К сожалению, JComments не стал исключением .
Режутся тэги и всё то, что может быть принято за тэги, а это ведь неправильно. Хочу я написать в комментариях так:

Смотри как надо: <p align="right">Этот текст справа</p>

А если хочешь написать < и >, то используй &lt; и &gt;

а в итоге получится

Смотри как надо: Этот текст справа

А если хочешь написать < и >, то используй < и >

Я всё не понимаю, зачем так делают? Это ведь пользовательский ввод - вот и пусть сохраняется в базе как есть (без самовставленных <br />) и выводится как есть, обернув в nl2br(htmlspecialchars($comment, ENT_QUOTES, 'UTF-8'));. Ведь вот же форум - тут что написал, то и получил.

Можно ждать такое или в ближайшее время не светит? (подозреваю, что это может потянуть за собой хвост изменений)

Скажем так, после выпуска JComments 2.1, в одном из младших релизов будет полноценно реализован BBCode-тег CODE, и все, что будет в него заключено, будет полноценно выводиться и не будет обрабатываться. И никак иначе...

Ну CODE это хорошо, а вообще почему никак иначе? Ведь сейчас нельзя вот так написать:

Кричим <ура>

Останется просто

Кричим

что не есть правильно.

Ну CODE это хорошо, а вообще почему никак иначе?

Ну потому, что htmlspecialchars обработает и символ &, и символы кавычек. При этом, это затронет не только текст комментария, но и размещенные в нем теги, а например, в том же теге QUOTE используются кавычки. Во-вторых, если в тексте будут ссылки с параметрами, то в них & будет заменен на &amp;, и это повлечет за собой необходимость коррекции всех регулярных выражений, обрабатывающих ссылки. Да и чем вариант с CODE не устраивает?

Да и ввод-вывод у нас как организован? Пришло сообщение, мы его обработали, выкинули то, что посчитали лишним (запрещенные пользователю или неподдерживаемые BBCode, HTML-разметку и т.д.), сделали замену некоторых символов (например три точки на троеточие или два минуса на тире), и сохранили в БД. При отображении - запустили обработчик BBCode, он заменил теги на HTML-код, показали пользователю.

Теперь, если мы HTML вырезать не будем, то нам перед выводом надо вызывать htmlspecialchars. Но в какой момент? До обработки BBCode - попортим часть символов, после - попортим код, который вставился вместо BBCode. Устраивать танцы с бубном, перед заменой убирая весь HTML в закрома, а потом возвращая - это лишняя нагрузка на сервер при отображении. Которая, причем, будет выполняться при каждом обращении. И зачем это нужно?

как-то всё сложно
Но форумы то как то работают. Ну да ладно.

Но форумы то как то работают

ты ради интереса возьми исходники того же SMF и посмотри как там реализована обработка BBCode (функция parse_bbc в файле Subs.php), по мне, так мощно конечно, но слишком много лишней работы и лишней нагрузки. Я подумаю, что здесь можно сделать, и попробую в следующих версиях как-то улучшить ситуацию.