-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
htmlspecialchars и strip_tags
- Автор темы Userphp
- Дата начала
hell0w0rd
Продвинутый новичок
Для чего достаточно? Какую задачу ты хочешь решить?
Существует следующая, проверенная практика. Нужно принимать данные от клиента в таком виде, в каком они есть, в таком же виде и записывать. А вот на вывод использовать экранирующую функцию, вот пример
Если каждый раз экранировать дорого, например вам нужно выводить html, который ввел пользователь, и нужно вырезать запрещенные html-теги/атрибуты, стоит это все в базе рядом с сырыми данными хранить, хотя возможно кто-то скажет, что правильнее в таких случаях использовать валидацию/выпиливание на входе.
А вот запись в базу - использовать подготовленные запросы, чтобы отделить sql, от данных.
Существует следующая, проверенная практика. Нужно принимать данные от клиента в таком виде, в каком они есть, в таком же виде и записывать. А вот на вывод использовать экранирующую функцию, вот пример
Если каждый раз экранировать дорого, например вам нужно выводить html, который ввел пользователь, и нужно вырезать запрещенные html-теги/атрибуты, стоит это все в базе рядом с сырыми данными хранить, хотя возможно кто-то скажет, что правильнее в таких случаях использовать валидацию/выпиливание на входе.
А вот запись в базу - использовать подготовленные запросы, чтобы отделить sql, от данных.