duda ?

hola maestros estoy leyendo de zonaphp un manual para la creacion de foros y una cita me dejo intrigado

" También utilizamos la función de PHP htmlentities() para convertir todos los caracteres especiales ( >, <, ", &, etc ) en sus respectivas entidades HTML ( &gt;, &lt;, &quote;, &amp;). Con esto evitamos que un usuario ingrese código HTML en nuestro Foro (con la respectiva vulnerabilidad que este implica)."


¿a que vulnerabilidad se refiere? , alguien me la puede explicar

gracias...

Esto deberías preguntarlo en el foro HTML/javascript ..

PHP te pone a tu disposición esa función para hacer lo que mencionas .. pero el efecto final de "seguridad" es más bien del lado del cliente ...

Si tu permites que en un "textarea" yo ponga < y > .. perfectamente podría poneer

<script languaje="javascript">
y aquí algo de javacript ...
</script>

Eso se ejecutaria ..

tambien un simple
<img src="imagen.tal">

Imagina que "bonito" te quedaría un foro donde la gente publica contenido directamente .. con un titulo en el que se ejecute el tag de imagen como te puse en el último ejemplo .. o una rutina javascript ..

Un saludo,