Én csak szerettem volna felhívni minimálisan a figyelmet arra, hogy ez így annyira nem egézséges. Okay, hogy itt HUP-on alapjában véve csak a "hozzáértőbb" normális közönség van, aki nem akar rombolni, de bármikor besunnyoghat egy rosszakaró is. Nem akarok itt feltétlenül ötleteket adni, de pl ezzel a bármikor beszúrható IFRAME kóddal speciel láthatatlanul bármikor meg tudnék hívni egy akármilyen weboldalt, példának pl legyen egy saját blog weboldala. Elkezdek mind az őrül kommentelgetni mindenhova itt a fórumban és minden hozzászólásomba elszórom ezt az IFRAME-et, ami a háttérben a saját blogomat hozza be. Ezzel kárt itt nem okozok, viszont megdobom a BLOG-om látogatottságát okosba, mert úgye aki megnéz itt hup-on egy témakört és ott is szerepel az egyik hozzászólásom, akkor ő automatikusan a blog-mat is meg fogja látogatni ezzel, csak nem tud róla a nem látható iframe miatt. De a blogom helyett akár egy TOPLISTA weboldalt is meghívhatnék... sőt, ha nagy szemét akarnék lenni, akkor akár egy popup is megvalósítható lenne.
Szerintem egyébként visszamenőlegesen is kompatibilis lenne az a megoldás, ha a hozzászólások megjelenítésénél egy sima htmlspecialchars()-t ráeresztenél a szövegre mielött kiíratod. Ehhez nem kell adatbázis UPDATE, a megjelenő forráskódok meg így nem lennének közvetlenűl beinjektálva "értelmezhető" kódként a HTML-be.