ציטוט:
נכתב במקור על ידי בניה
אם תכניס למסד באמצעות prepared statements/ bind params לא תהיה שום בעיה
אם אתה לא עובד עם PDO/MYSQLI
לפני שאתה מכניס למסד תעשה mysql_real_escape_string וזהו. רק תוודא שאיו לך בטעות את הדינוזאור שמסרב להכחד magic quotes עובד בשרת
htmlspecialchars עושים כשרוצים לשפוך את הטקסט מהDB לתוך הEDITOR
* זה לא מתייחס לטיפול בXSS אם הHTML מגיע ממשתמשים מזדמנים
זו כבר בעיה אחרת והטיפול בה הוא אחר.
|
שאתה מדבר על prepared statements \ bind params
על מה אתה מדבר?
מחלקות ?
תוכל להפנות אותי ?