Скажите, пожалуйста, как лучше фильтровать данные? Если только перед записью в БД фильтровать htmlspecialchars и mysql_real_escape_string то при выводе не понадобиться. Я вот этим способом и пользуюсь, но много читал что перед записью только mysql_real_escape_string, а при выводе htmlspecialchars. Как правильно?
[мошенник] так и правильно вроде
Ну, относительно нагрузки бд, а также красоты текста, лучше фильтровать после вывода из бд. Но если тебе не жалко бд, а также пофиг на закорючки в сообщениях, то фильтруй при записи в бд.
[мошенник] htmlspecialchars перед записью
mysql_real_escape_string вывод
mysql_real_escape_string,trim при записи в базу,вывод из базы htmlspecialchars
Изм. 1 раз. / Посл. изм. (20 май 2014, 09:20)
ОткрывашкО.О, как раз таки всё не так. В БД попадают данные без этих всяких закорючек, и выводятся уже безопасные данные.
перед обработкой данных htmlspecialchars, ну я обрабатываю strip_tags, и перед записью mysql_real_escape_string
Добавлено 20.05.14 в 09:33:34:
при выводе из бд тогда зачем обрабатывать? уже подставляем свои функции типа вывода смайлов, бб-кодов и прочего
ВАЙБЛЯКАША CUSTOM, "Но если тебе не жалко бд"
что жалко?
Нет, в бд вместо < - попадает 2-3 символа. И т.д.
Изм. 1 раз. / Посл. изм. (20 май 2014, 09:35)
