[JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars() Opcje

[q3d]

Pobieram z bazy dane. Część z nich to np. wartości atrybutów HTML. Czy one również mają być filtrowane htmlspecialchars();?

[PHP] pobierz, plaintext 
<p class="'.htmlspecialchars($config['class']).'">'.htmlspecialchars($content).'</p>
[PHP] pobierz, plaintext 

Gdy próbowałem:

[PHP] pobierz, plaintext 
$config['class'] = '<script>alert()</script>';
 
<p class="'.$config['class'].'">...</p>
[PHP] pobierz, plaintext 

to skrypt JS się nie wykonuje.

[nospor]

WYbacz, ze troche nie na temat moze, ale jak widze, ze wklase probujesz wlozyc taki tekst:
"<script>alert()</script>"
To odnosze nieodparte wrazenie ze cos tu jest nie halo i zamiast martwic sie o escapowanie to moze lepiej poprawic to i owo w samej strukturze aplikacji?

[q3d]

WYbacz, ze troche nie na temat moze, ale jak widze, ze wklase probujesz wlozyc taki tekst:
"<script>alert()</script>"
To odnosze nieodparte wrazenie ze cos tu jest nie halo i zamiast martwic sie o escapowanie to moze lepiej poprawic to i owo w samej strukturze aplikacji?

To chyba nieporozumienie. Ja nie chcę w atrybut HTML class (czy jakikolwiek inny) wsadzić kodu JS tylko się zastanawiałem jaki byłby efekt takiego wsadzenie biorąc pod uwagę, że wartość tam wsadzana pochodzi z zewnętrznego źródła (np. z bazy danych). Chyba, że ja czegoś nie rozumiem.

Czy:
Wszystko co pochodzi od użytkownika === Wszystko co pochodzi z zewnętrznego źródła
?

Pobieram z "własnej" bazy danych konfigurację np.:

[PHP] pobierz, plaintext 
$config['iloscElementow'] = $db->('config');
[PHP] pobierz, plaintext 

to przed użyciem mam filtrować i weryfikować np.:

[PHP] pobierz, plaintext 
$iloscElementow = (int) $config['iloscElementow'];
[PHP] pobierz, plaintext 

i dopiero korzystać z $iloscElementów, a nie z $config['iloscElementow']?