salve vorreei una piccola delucidazione ,uso htmlentities x inserire inn un DB cio che gli utenti scrivono in un forum ,in altre parti ho visto usare la stessa funzione pero quando i risultati presi da DB sono mostrati ora vi chiedo e meglio usare htmlentities prima o dopo che si inserisce in DB o e la stessa cosa?spero di essere stato chiaro
ah un ultima cosa e sufficiente l'uso di htmlentities x eventuali attacci in un forum?
aspetta tu che parametri usi per htmlentities?
htmlentities($testo,ENT_QUOTEs) dove il $testo è il testo che viene passato o nel form x un inserimento in un topic nel forum o nel form x l'insermiento annuncio tramite $_POST
Teoricamente è uguale, anche se io lo userei in output, dipende da ciò che devi fare, per me è meglio tenere l'input puro salvato e poi formattarlo in base alle necessità.Originariamente inviato da hataro
htmlentities($testo,ENT_QUOTEs) dove il $testo è il testo che viene passato o nel form x un inserimento in un topic nel forum o nel form x l'insermiento annuncio tramite $_POST
Sistemi di allarme, telecamere, autoradio, video proiettori e altri prodotti tecnologici: fedom.it
in effetti io volevo sapere se per esempio in caso di un script inhjection in cui x esmpio scrivono <script> e altri tag e sicuro tenerli cosi nel DB o è meglio tenerli con caratteri convertiti?Originariamente inviato da Albertorrr
Teoricamente è uguale, anche se io lo userei in output, dipende da ciò che devi fare, per me è meglio tenere l'input puro salvato e poi formattarlo in base alle necessità.
Mmm, io preferirei implementare dei controlli personali per evitare l'injection di JS o di SQL.
Salverei l'html, dopo aver cambiato i QUOTE ( " ) e gli ENT ( ' ) nelle corrispondenti entities, idem per le accentate e caratteri speciali ( http://it.php.net/manual/it/function...ecialchars.php )
Con il testo così codificato non devi poi convertirlo per stamparlo
Permessi di invio
Rispondi quotando