ציטוט:
נכתב במקור על ידי Baku
לא עושים בכלל החלפה של תווים בשמירה למסד!! למסד הנתונים צריכים להיות מוכנסים כמו שהם(דהיינו רק אסקייפינג(כדי למנוע שגיאות או הזרקות)).
ההגנות מפני XSS צריכות להתבצע בהדפסה בלבד.
מצב היפוטטי:
--
נתתי למשתמש להכניס עריכה של תוכן, עשיתי החלפה של תווים(htmlenteties || htmlspeacialchars) ושוב החלטתי לערוך- הנתונים שאקבל יכולים להיות פריקיים!
|
אז פשוט אפשר להמיר בחזרה לHTML כשרוצים עם htmlspecialchars_decode..