Dionis (23.10.2009/23:27)
Полностью с тобой согласен бу га га Дорогой мой, прежде чем писать подобные высеры, та ещё и в разных темах, подумай над тем имеешь ли ты на это достаточно оснований и какие могут быть последствия.
Не пеши "дорогой мой" так к мужьям обращаются )
А так - ну , че терь поделаешь . Не буду писать
Николай (23.10.2009/23:28)
Я обрабатываю хтмлчарс , экрамирую,затем заношу в базу . Зачем обрабатывать хтмлчарсом,когда в базе все норм )
в базе то норм но если вывести в браузер может плохо быть
Невтыкаю , проехали короче
ПеревозЧЕГ, Если перед тем как в бд записать хтмлчарсом отфильтровать, то в браузере всё норм будет. Но только нах надо так делать? Ведь придется всё фильтровать, ибо хз что понадобится вывести на экран. С другой стороны мы далеко не все данные из базы выводим на экран. Отсюда следует, что наиболее рационально будет фильтровать непосредственно перед выводом в браузер.
Dionis, я тоже так думаю. Фильтровать нужно только чтобы инъекцию не сделали, а остальное при выводе сделать можно
Дионис ,
$текст = хтмлчарс ( берем из базы )
есчо $текст;
Представь шо ^ такой код на странице. Мы , каждый раз обновляем страницу ,и следовательно каждый раз чистим переменную. А разве выводя переменную $текст из базы без обработки не меньше ли будет нагружаться сервер . Разве не проще обработать одну переменную один раз , чем обрабатывать ту же переменную при каждом обновлении экрана?
Николай, понимаешь, когда ты обрабатываешь данные перед тем как внести в базу ты обрабатываешь от sql injection и в базе данные хранятся в том виде в каком ты их получил от пользователя. Поэтому при выводе из базы у тебя выведется текст без обработки. Попробуй какой нибудь ява код внеси в базу перед этим обработав а потом выведи в браузер не обрабатывая...
А разве < > не заменятся при первой обработке хтмл чарсом перед внесением в базу?
*интересуюсь*
Николай, вот здесь я ничего сказать не могу. Нужно ждать Олега или др знающих людей
Николай, может и лучше. Но вот тебе пример:
записываем в базу какую-нибудь ссылку, типа site.ru/bla&bla Потом где-нибудь используем её, например так header("location:эта_ссылка_выведеная_из_базы"); Так вот при обработке хтмлчарсом перед тем как записать в бд, нас перенаправит на несуществующую страницу, так как & в ссылке будет заменено на &
Из этого примера ясно видно, что фильтрация "всего подряд" иногда может вообще мешать.
Та я думаю, что по сравнению с Алькатразом мы оба чайники гг, а у него сделана фильтрация тегов непосредственно перед выводом в браузер