Нужен совет по htmlspesialchars()

[krafty]

Нужен совет по htmlspesialchars()

Подскажите пожалуйста в каком месте нужно использовать htmlspecialchars(): перед занесением текста из элемента ввода в БД, или перед выводом из БД в браузер?

 

[dvp]

перед выводом в браузер

 

[ksnk]

Полезно также почитать про slashes. Иногда и перед записью кое-что неплохо бы сделать.

 

[Vladson]

Оба подхода правильные, но у второго есть свои плюсы (и минусы) я использую чаще второй

 

[krafty]

2ksnk
Почитал и вспомнил, что перед записью в БД неплохо бы воспользоваться mysql_real_escape_string()

 

[SiMM]

krafty, гы, а теперь почитай ту же ссылку ещё раз и осознай тот факт, что перед работой с полученными от пользователя данными иногда необходимо делать stripslashes

 

[krafty]

Блин! прочитал Database_Placeholder: PHP, MySQL, безопасность и «плэйсхолдеры» и окончательно запутался

-~{}~ 31.08.05 19:42:

SiMM, "иногда" - это когда включены волшебные кавычки? а если в самих передаваемых данных есть слеши?

 

[Фанат]

А ты не парься.
без плейсхолдеров вполне можно обойтись
а остальное - проще пареной репы

 

[krafty]

Фанат, спасибо, что надоумил, а то уже собрался инклудить библиотеку ко всем скриптам.
А все же правильный ход мыслей у меня? А то меня SiMM озадачил!!!
Действия перед занесением данных в БД (от пользователя):
1. отключаем волш. кавычки
2. mysql_real_escape_string() для всех input переменных формы
3. запрос

если не ответите, то буду ставить эксперименты. хочу решить этот вопрос для себя раз и навсегда!

 

[Фанат]

неправильно
как правильно - написано в факе.

а эксперименты тебе не помогут

 

[krafty]

фух... читаю последний раз. внимательно и вдумчиво