1) Это же небезопасно - тогда хакер сможет тупо писать в текст любые теги в квадратных скобках
2) BB-ориентированные системы могут быть подвержены XSS-атакам, если при их проектировании сделано отступление от идеи написания языка разметки с нуля. Приведу пример: пусть мы тегом [b][/b] оформляем жирный текст. И при этом разрешаем пользователям с помощью атрибута color менять его цвет. То есть пусть [b color="red"]...[/b] заменяется на .... На первый взгляд все хорошо, однако...
Злоумышленник может в значение атрибута color записать что-то посложнее простого цвета, к примеру, он туда запишет строку «red" onmouseover="скрипт» или «expression(скрипт)». И, если мы не осуществляем должной фильтрации значения цвета, мы получим скрипт, выполняющийся у посетителей.
Хорошей идеей для такой фильтрации будет не вычищать потенциально опасные вещи (к примеру, слово expression или кавычки), а наоборот, пропускать только такие данные, которые являются корректными. В случае с цветом это последовательность латинских букв и цифр, возможно, с символом «#» в начале (т. е., к примеру, регулярное выражение «^[#]?[a-zA-Z0-9]+$». Есть, конечно, в стандарте HTML и другие форматы записи цветов, желающие могут справиться в интернете). Можно пойти дальше, отсеивать, к примеру, цвета, равные или близкие к цвету фона и т. д. Всем этим мы добъемся того, что наш фильтр будет правильно работать и в случае появления поддержки в браузерах каких-то конструкций, которых, возможно, еще и в проекте нет.
Нет в моем случае не подойдет. Это на хабре пользователи поймут что такое тег more а люди гуманитарии которые будут вести уютный бложик на моем скрипте далеки от понимания что такое вообще тег и как его вставлять. Тем более им лениво совершать лишнее движение по вставке этого тега. Именно поэтому мне и нужно чтобы резалось автоматом из текста.
Виктор Ablebeam: Проблема wordpress в том, что он имхо тянет за собой много лишнего, при этом по умолчанию обладая не самым удобным функционалом. Свои движки для блога на PHP может и не для широкой аудитории, но если ты знаешь код своего движка изнутри, это лучше, чем постоянно латать дыры от уязвимых плагинов и модулей популярной CMS. Так что затея не гиблая, если конечно автор поста действительно не ставит цель переплюнуть Wordpress по популярности.
