Андрей Кудлай (matroskin8)
- Профиль
- Комментарии
Обрабатывать данные перед помещением их в базу функцией htmlspecialchars() не стоит, поскольку от SQL-инъекции она ну никак не защитит. Данную функцию следует применять только для обработки пользовательских данных при выводе клиенту. Таким образом мы обезопасим сайт от XSS-уязвимостей. Ну а в каком виде данные хранятся в БД (с тегами или без) - БД это абсолютно все равно и никак не повредит.
Для примера возьмем Вашу же рекомендацию из п.1 о длине поля в 10 символов. Введу я, скажем, имя д'Артаньян... символов в нем ровно 10, но, если обработать перед занесением в БД имя функцией htmlspecialchars(), то в базу попадет такое - д(а здесь 6 символов мнемоника)рта...
Также неплохо было бы сказать хоть несколько слов о директиве "волшебные кавычки" и почему ее нужно выключать.
Александр Котов, подозреваю, что информации о заболеваниях, которыми страдали в Средневековье крайне мало еще и потому, что к медикам...