• Мнения
  • |
  • Обсуждения

Андрей Кудлай (matroskin8)

  • Андрей Кудлай
    • Статус
    • Читатель

    Дата регистрации: 02.06.2012
    Последний раз был(а) на сайте: 02.06.2012 в 11:05


  • О себе

    Мужчина в полном расцвете сил, но не Карлсон )))
    Хобби и профессиональный интерес - веб-программирование

Последние комментарии

2 июня 2012 в 11:17 отредактирован 27 мая 2018 в 13:24 Сообщить модератору

Обрабатывать данные перед помещением их в базу функцией htmlspecialchars() не стоит, поскольку от SQL-инъекции она ну никак не защитит. Данную функцию следует применять только для обработки пользовательских данных при выводе клиенту. Таким образом мы обезопасим сайт от XSS-уязвимостей. Ну а в каком виде данные хранятся в БД (с тегами или без) - БД это абсолютно все равно и никак не повредит.
Для примера возьмем Вашу же рекомендацию из п.1 о длине поля в 10 символов. Введу я, скажем, имя д'Артаньян... символов в нем ровно 10, но, если обработать перед занесением в БД имя функцией htmlspecialchars(), то в базу попадет такое - д(а здесь 6 символов мнемоника)рта...
Также неплохо было бы сказать хоть несколько слов о директиве "волшебные кавычки" и почему ее нужно выключать.