Насчет фильтрации и хранении данных.

Видел это еще в коде Сиеры,терь так пищу)

Анекдот в тему:

Очень часто, после хорошей проверки, надежный тыл оказывается беззащитной жопой!

У меня такой вопрос.
Есть большой текст который записывается в базу.
Перед записью фильтрую

mysql_real_escape_string($text);

вывожу из базы так

checkout($res['name'], 1, 1)

Вопрос,будет ли уязвимость или нет?
Просто мне при выводе нужно поддержка тегов.

localhost (09.02.2012/08:52)
У меня такой вопрос.
Есть большой текст который записывается в базу.
Перед записью фильтрую

mysql_real_escape_string($text);

вывожу из базы так

checkout($res['name'], 1, 1)

ты ведь отфильтровал текст при помощи mysql_real_escape_string.

Saturn (09.02.2012/09:23)
ты ведь отфильтровал текст при помощи mysql_real_escape_string.

Эта функция для экранирования опасных символов при записи в базу,но никак не при выводе из нее.

Я делаю так:
Для varchar полей (обычно они у меня отдаются для имен,, заголовком и т.п, их не нужно обрабатывать ббкодами, смайлами, и пробелы не нужны) их я обрабатываю htmlentitlies(); и прямиков пихаю в БД. То есть символы сохраняются в виде кода (#0123;), а поля text (ну естественно они для сообщений) их только через mysql_escape_string(); в БД пихаю.

Windler (09.02.2012/10:34)
Я делаю так:
Для varchar полей (обычно они у меня отдаются для имен,, заголовком и т.п, их не нужно обрабатывать ббкодами, смайлами, и пробелы не нужны) их я обрабатываю htmlentitlies(); и прямиков п

Ну насчет базы то понятно,я сам так делаю.
Мне важен вывод из базы,и мне в выводе нужна поддержка бб кодов.

localhost, при вводе mysql_real_escape_string, при выводе htmlspecialchars и нет проблем

Не будит уязвимости.
теме 2 с лишним года зачем ее было поднимать, есть более актуальная тема - вопросы по php и mysql там и нужно задавать вопросы