Просмотр поста

Ы. $cat действительно не отфильтрована, так что со стороны администрации (права 4 или выше 6) можно сделать пасивную XSS (безсмысленая вещь) и иньекцию (в функции provcat фильтрации так же нет)