<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font size="-1"><font face="Helvetica, Arial, sans-serif">Hello all,<br>
<br>
it might be that I detected a bug or slight "security hole" in the
CommentBox recipe. When posting on pages without edit rights, obviously
one does not want to allow the poster any rights except to have their
comment show up. However, when the user types in something like<br>
<br>
(:title blabla:)<br>
<br>
then the user actually changes the title of the page. The same goes for
all other directives - they can be entered by the user.<br>
<br>
How could this behavior be avoided? I guess one would need to escape
the code the user enters...<br>
<br>
Cheers,<br>
Mike<br>
<br>
<br>
</font></font>
</body>
</html>