Giorno, premetto che ho sempre lavorato con le magic quotes, in quanto ho sempre realizzato script ad-hoc fatti per determinati server. adesso devo sviluppare uno script portabile anche su server dove le magic quotes sono disabilitate (ce ne saranno?)
dunque.. sono a conoscenza delle varie funzioni per il typecasting delle variabili di input, ma sono un po' confuso su come utilizzarle. esempio in un form POST, ho una textarea che deve creare una nuova riga in un database...
io avevo in mente di sostituire tutti i caratteri speciali con le relative entities html prima dell'inserimento nel db. questo perchè comunque è un passo che dovrei fare (ovvero convertire tutti i caratteri speciali in entities) quando devo stampare nelle mie pagine il contenuto della textarea. ma è giusto farlo prima (e quindi risolvere il problema delle sqlinjection) oppure è meglio farlo quando visualizzo il campo con echo(htmlspecialchars($campo));?
riguardo al primo metodo ho un dubbio sulla lunghezza della stringa
esempio, consento massimo 16 caratteri per un campo
che è compilato con "my'full'nickname" (16 caratteri esatti)
in mysql avrei, con il primo metodo
"my'full'nickname"
e non sono più 16 caratteri, ma molti di più: quindi?
anche backslashando i ' avrei 18 caratteri.. mi spiegate un po' com'è il metodo più corretto?
grassie
Rispondi quotando
