[PHP] Filtrowanie danych od użytkownika Opcje

[sebekzosw]

Witam,

mam pewne wątpliwości - dotyczy on filtrowania danych od użytkownika - filtrować dane przed dodaniem do bazy czy po pobraniu a przed wyświetleniem?

dodatkowo czy stosować mysql_real_escape_string jeżeli wcześniej użyło się htmlspecialchars?

No i ostatnie pytanie - jak rozwiązać problem \r\n zmieniające się na rn po użyciu mysql_real_escape_string - jest to uciążliwe trochę...

Oczywiście pytania są w formie wymiany doświadczenia między doświadczonymi programistami więc proszę nie przesyłać mnie do manuala (IMG:style_emoticons/default/smile.gif)

Pozdrawiam (IMG:style_emoticons/default/smile.gif)

[nospor]

dodatkowo czy stosować mysql_real_escape_string jeżeli wcześniej użyło się htmlspecialchars?

mysql_escape_string służy escapowaniu danych wkładanych do zapytania. htmlspiecialchars z bazą nie ma żadnego związku. Każda z funkcji służy zupełnie innym celom

[sebekzosw]

htmlspecialchars użyć przed dodaniem do bazy czy po pobraniu a przed wyświetleniem?

[nospor]

A wiesz do czego służy htmlspecialchars()? Jak tak, to odpowiedź nasuwa się sama.
Jak nie, to przeczytaj do czego w ogóle masz go używać. Jak już się tego dowiesz, to znowu odpowiedź nasunie się sama (IMG:style_emoticons/default/smile.gif)

[sebekzosw]

wiem jak działa htmlspecialchars ale odpowiedź mi się nie nasuwa... podzieli się ktoś swoim doświadczeniem? Zapisywać oryginalne dane wprowadzone przez użytkownika do bazy (przefiltowane tylko przez mysql_real_escape_string) a przed wyświetleniem ewentualnie filtrować? Chodzi o optymalizacje i zarazem bezpieczeństwo.

[nospor]

Ja htmlspecialchars uzywam przed wyświetleniem. Nie widzę zadnego powodu by uzywac tego do wkładania do bazy.

Powód edycji: [nospor]:

[kazymjir]

mysql_real_escape_string() gdy filtrujesz dane które zamierzasz umieścić w zapytaniu.
htmlspecialchars() gdy chcesz wyświetlić dane.

Tak jak nospor mówi, nie widać tu żadnego powodu by korzystać z tej funkcji przed wrzucaniem danych do bazy.