L'unica azione leggittima sarebbe quella di limitarsi a controllare il contenuto del testo che si vuole salvare nel database e decidere se rifiutarlo o meno. E' troppo corto? Troppo lungo? Contiene parolaccie? Contiene tag html? Ma comunque sia non devi modificarlo, per tutti i motivi che chumkiu ti ha ben esposto. Lo vincoleresti ad un solo utilizzo, e questo è un errore sia logico che pratico. Perchè se un giorno volessi inviare quei dati in un posto che non sia una pagina html non potrei farlo. Ad esempio, se volessi inviarli via email? Dovrei ricordarmi che li ho codificati in una certa maniera, in qualche modo li ho adattati solo ed esclusivamente per le pagine html, e dovrei lavorare per riconvertirli al loro stato originario prima di poterli inviare. E se i filtri che ho utilizzato per salvare quei dati avessero una mancanza? Mi accorgo solo successivamente che "<script>" non è permesso, ma "< script>" si. Cosa faccio? Modifico tutti i dati del database per fare in modo che i dati rientrino negli schemi dei nuovi filtri? O ancora, decido di salvare tutti i nomi degli utenti nella mia tabella "users". Prima di salvare il nome dell'utente, che verrà successivamente stampato nella pagina html, decido di trasformare tutti i corrispondenti caratteri speciali nelle relative entità. Successivamente, al momento del login, decido di recuperare tutti i dati dell'utente partendo dal suo nome. Come faccio la query? SELECT * FROM users WHERE username = 'xxx'; Ma tutti i nomi utente li ho salvati codificandoli in una determinata maniera. ... WHERE username = 'Federico<91>' non recupererà nessun dato, dovrei effettuare lo stesso tipo di conversione che ho usato per salvare i dati anche per recuperarli successivamente. Roba da pazzi.Originariamente inviata da leaf
capisco ma non sono convinto..intanto grazie!
Non sei ancora convinto?
Rispondi quotando
