Разрешать HTML в дополнительных полях - неправильно в плане безопасности.
Самый простой пример: Злоумышленник кладет себе на сервер картинку в папку, закрытую паролем через htaccess и добавляет <img...> тег в дополнительное поле
Везде, где настроен вывод содержимого этого поля, пользователи буду видеть вплывающее окошко с запросом логина и пароля. Причем злоумышленник будет получать полноценный лог всего, что туда вводят.
Вопрос на засыпку: сколько найдется уникалов, которые без зазрения совести заполнят в этом окошке свой форумный логин и пароль?
Ответ: очень много. У нас когда-то на форуме регионального провайдера более 400 учетных записей так поломали, это было 23% от общего числа активных пользователей. Представляете масштабы трагедии?
Точно также можно попробовать js выполнить или файл подгрузить. А что, html же у ленивого админа разрешен
Так вот, к чему это я. нужно стараться продумывать доп.поля так, чтобы плейсхолдер форумный {postrow.PROFILE_
FILDNAME_VALUE} был окутан тегами ВНУТРИ шаблона, а само по себе поле содержало только значение.
Пример:
Код: Выделить всё
<!-- IF postrow.S_PROFILE_IMG -->
<a href="{postrow.PROFILE_LINK_VALUE}"><img src="/icons/{postrow.PROFILE_IMG_VALUE}.gif" title="{postrow.PROFILE_IMGTITLE_VALUE}"></a>
<!-- ENDIF -->
Этот код потребует использования трех дополнительных полей и если заполнено доп.поле LINK, выведет на странице темы в нужном месте некую картинку с указанным тайтлом, окутанную ссылкой. Если поле LINK пустое, не выведется ничего.
Причем для вставки картинки нужно будет заполнить в доп.поле только ее название без расширения, а саму картинку закинуть в нужную папку вручную.
Такой подход 100% безопасен. Причем оперирование доп.полями позволяет создавать профили любой сложности.
Еще раз спрошу: сформулируйте задачу, какие вам поля надо добавить и как вывести. Можно в личку, если боитесь опубликовать некий "тренд" в паблик.