Witam,

Poprawiam, stary, odkopany gdzieś skrypt i dotarłem do funkcji, która ma przetwarzać tekst przed dodaniem go do bazy MySQL. W związku z tym moje pytanie. Czy takie cudo ma sens:

[PHP] pobierz, plaintext 
function przygotujinputtekst($wartosc) {
    $wartosc = trim($wartosc);
    $wartosc = html_entity_decode($wartosc, ENT_QUOTES, 'UTF-8');
    $wartosc = strip_tags($wartosc);
    if (!get_magic_quotes_gpc()) {
    $wartosc = mysql_real_escape_string($wartosc);
    } else {
    $wartosc = stripslashes($wartosc);
    $wartosc = mysql_real_escape_string($wartosc);
    }
    return $wartosc;
}
[PHP] pobierz, plaintext 

Nie wiem czy jest sens używania tych 2 linijek:

[PHP] pobierz, plaintext 
$wartosc = html_entity_decode($wartosc, ENT_QUOTES, 'UTF-8');
$wartosc = strip_tags($wartosc);
[PHP] pobierz, plaintext 

i możesz sobie odrobinę skrócić kod

[PHP] pobierz, plaintext 
if (get_magic_quotes_gpc()) {
$wartosc = stripslashes($wartosc);
} 
$wartosc = mysql_real_escape_string($wartosc);
[PHP] pobierz, plaintext 

Chyba ma sens, bo czasem dane tekstowe wyświetlane są w formularzu do edycji. Przed ich wyswietleniem przechodzą przez funkcję htmlentities()
Za manualem:

[PHP] pobierz, plaintext 
<?php
$str = "A 'quote' is <b>bold</b>";
 
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);
 
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

Bez

[PHP] pobierz, plaintext 
$wartosc = html_entity_decode($wartosc, ENT_QUOTES, 'UTF-8');
[PHP] pobierz, plaintext 

Część znaków z // Outputs: A 'quote' is <b>bold</b>
zostałaby ponownie przetworzona przez mysql_real_escape_string();, czyż nie?