Ved si mu neescapoval ten $dotaz, to je najvacsie riziko, nie? Je tam nebezpecie SQL injection cez tie %e %c %Y atd.

Robit htmlsecialchars po vyberani z databazy podla mna uz neni az tak dolezite z hladiska bezpecnosti (resp. jaj to je pre text prispevku = uzivatelsky vstup, takze je dolezite aj to htmlsecialchars, som predpokladal ze htmlsecialchars robi uz pred vkladanim do databazy, bez toho to je fakt emental).