ciao a tutti,
nel db inserisco del testo facendo uso di htmlspecialchars($stringa, ENT QUOTES). Cioè, le accentate èàèì ecc. vengono inserite così, mentre apici e virgolette e <> vengono inserite con la loro codifica html (", < ecc..)
Va bene in questo modo, oppure devo inserire solo entità anche per le accentate? oppure inserisco apici e virgolette e <> così come sono (togliendo cioè ENT QUOTES)?
Innanzi tutto non dovresti inserire nel database il testo codificato, le entita' HTML hanno senso quando mandi il testo in output a un browser -- al database quei caratteri non fanno niente.
Poi ormai per tutti i caratteri particolari "non standard" la cosa piu' corretta da fare e' usare il charset UTF8 e inserire i caratteri direttamente e non le loro entita' HTML. Si usa htmlspecialchars solo per mandare in output testo che potrebbe contenere tag HTML e si vuole mostrarle invece che farle interpretare.
Con UTF8 era un casino in più punti.
Perciò, io vorrei tenere la codifica Latin1 sul db e ISO-8859-1 per le pagine: con queste premesse posso inserire nel db caratteri speciali html (" ' <> è à ecc..) così come sono senza trasformarli nelle rispettive entità? o ci sono problemi di sicurezza?
I problemi di sicurezza li hai solo se invii in output al browser del testo potenzialmente pericoloso senza trasformare i caratteri '<' e '>'.
Per evitare problemi nell'esecuzione delle query, per ogni valore esterno che devi inserire nel database puoi fare cosi':
codice:$valore_pulito = mysql_real_escape_string(stripslashes($valore_originale));
io uso mysql_real_escape_string ma senza stripslashes: altrimenti prima metto i \ e poi li tolgo
Quindi, mi stai dicendo che non serve htmlspecialchars(ENT QUOTES) quando inserisco il testo nel db?
Permessi di invio
Rispondi quotando