http://v6.kesion.com/html/xw/1609.html

此主题相关图片如下：111.gif

今天忽然发现评论系统没有办法折行（输入的回车会被忽略）。

然后进一步发现  C_Content（评论内容的TEXTAREA）能直接写HTML到数据库。

嘛~到不是不可以，不过普通用户来说，评论只能显示很枯燥的一行。连基本的空格和回车都做无法。

总不能让浏览者自己输入<br/> <p>等……吧？

评论能显示HTML总不妥，比如这官方示范页面，我随手找了一段HTML。会造成页面错位的问题。（见附件图片）。

好在kesion.commonCls.asp有对评论字符的过滤，对  SplitSqlStr="dbcc|alter|drop|*|and |exec|or |insert|select|delete|update|count |master|truncate|declare|char|mid|chr|set |where|xp_cmdshell" 这些有危险的能提示。但是总觉得不太人性。

期待做出改进：

1：在不大影响页面加载速度，服务器负荷的情况下，干脆加入评论的HTML编辑器~~就向论坛，每篇新闻都可以作为一个帖子主题来进行高级回复（ 这也是在下现在正试图对kesion源系统进行修改的^-^)

2：更简单，但是更人性安全，除了基本的换行，连续空格外，杜绝其他html标签的写入。

现在kesion在国内CMS还未大规模应用开，不然评论这个地方如果被流氓群发软件盯上的话倒是一个很头疼的隐患……设想成天有群发器往各位的网站评论里留垃圾留言广告的情形吧……

这个值得关注啊！！