Citat:
Originalno napisao dee
ovo bi filtriranje ulaznih podataka trebalo rijesiti, zar ne? recimo prosto htmlspecialchars() i htmlentities()?
|
Možeš odmah pri inputu da escapeuješ, a možeš i prilikom prikazivanja. Preferiram ovo drugo jer volim da imam originalne podatke u bazi.
Primer, ja na activeCollab želim da dozovolim da ljudi postoju JavaScript kod (recimo, dva developera diskutuju o nekoj JS funkciji u messages sekciji). Ono što ne smem da dozvolim je da to bude renderovano kao JS i intepretirano već kao klasičan output. Zato escapeuješ content...
clean() funkcija mi do sada nije pravila problema. Za razliku od čiste htmlspecialchars() ona se ne gubi sa kodiranim UTF-om. Preuzeto iz punBB-a (doduše, tamo se drugačije zove)