Показать сообщение отдельно
Старый 02.11.2011, 10:39   #12
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Цитата:
Сообщение от Demon1X Посмотреть сообщение
Хотелось бы уточнить такой момент. Когда лучше использовать htmlspecialchars() перед записью данных полученных от пользователя в БД, или каждый раз обрабатывать ею , эти данные когда выводим?

А то когда читал статьи по XSS в инете, многие рекомендуют обрабатывать данные при выводе из БД. Но ведь первый вариант проще т.к. обработка этой функцией будет происходить только один раз, а во втором случае каждый раз при выводе страницы с этими данными.
Данные должны хранится в том виде, в котором они были получены. Пример - выставление счета клиенту в html формате и в plain text'е. В первом варианте нужна обработка через htmlspecialchars, во втором - нет.
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием