Memorizza i caratteri mysqli con escape nel database ma li esporta correttamente con htmlspecialchars ()

0

Ho una funzione di disinfezione del database che utilizzo quando l'utente inserisce alcuni dati nel mio sito web. Eseguo l'escape dei caratteri mysqli con mysqli_real_escape_string (), ma desidero anche inviare il contenuto con htmlspecialchars (). Il problema è, diciamo solo che l'utente inserisce qualcosa con una singola citazione; che sarà sfuggito dalla funzione sanitize e verrà emesso come \ '. Esiste un modo per archiviarlo in questo modo e quindi inviarlo come '?

    
posta Someone 16.05.2013 - 23:47
fonte

1 risposta

3

I have a database sanitizing function that I use when the user enters some data into my website.

Se usi istruzioni preparate , non è necessario farlo . Non c'è nulla di pericoloso nell'avere un valore come "D'Alejandro" in una colonna del database.

I problemi di iniezione SQL sorgono quando le istruzioni SQL vengono create interpolando i valori forniti dall'utente nel testo dell'istruzione. Non c'è alcun motivo per cui una moderna applicazione web dovrebbe farlo.

    
risposta data 17.05.2013 - 00:18
fonte

Leggi altre domande sui tag