Hallo Yadgar,
So gehört z. B.
htmlspecialchars()
nicht in den Dateneingang (E), sondern beim Kontextübergang in den Datenausgang (A) der guten alten EVA-Strategie.Florence MAURICE empfiehlt in "PHP 7 und MySQL", Heidelberg 2019, etwaige missbräuchliche Eingaben möglichst früh abzufangen!
Ja. Aber immer für den Empfänger aufbereitet, für den es gefährlich werden kann. Wenn Daten in die Datenbank geschrieben werden sollen, muss verhindert werden, dass deine Datenbank Schaden nimmt oder deine Daten verändert werden: z. B. mysqli_real_escape_string()
.
Wenn Daten im Browser angezeigt werden sollen, muss verhindert werden, dass die Anzeige kaputt geht oder fremdes JavaScript ausgeführt wird: htmlspecialchars()
.
Bis demnächst
Matthias
--
Pantoffeltierchen haben keine Hobbys.
¯\_(ツ)_/¯
Pantoffeltierchen haben keine Hobbys.
¯\_(ツ)_/¯