Очень даже кстати я этого не заметил1. Обратите внимание, как банятся анонимы. Следует по IP, а не user_id
Это я тоже недавно заметил2. Неплохо делать проверку на наличие бана. Таблица достаточно тупая, дубликатами её забить весьма просто.
Это для избежания СSS атаки3. Не совсем понял смысл маниакальных манипуляций с SID, но это не ошибка
(когда любой юзер может дать админу в ЛС ссылку вида
Код: Выделить всё
[url=http://example/phpbb/ban.php?p=666]http://example/phpbb/viewtopic.php?p=123#123[/url]
(эта дыра присутствует в YellowCard, почему я его и не люблю
проверка на sid взята из modcp.php)