Правильное сохранение кавычек

Привет!
Столкнулся с такой проблемой, при сохранении инфы из формы в БД я делаю так
.
Если в поле набрать кавычки, то в БД они сохраняются как " и выводятся соответственно также.
Как сделать чтобы в БД сохранялись обычные кавычки, хватает ли для защиты тока mysql_real_escape_string или htmlspecialchars тоже стоит использовать?

0

Love_and_Peace, Юзер в форму вводит что? - вводит text/plain, т.е. ", &, < и > - это обычные символы:

Сообщение от Текст юзера Приветствую. Вот код: <input type="button" onclick="return confirm('Уверены?')" />

В БД в поле хранится что? Хранится тот же text/plain. Значит вносим text/plain как есть. Используем только mysql_real_escape_string(), чтобы правильно превратить text/plain в строковый литерал MySQL, который обозначает именно тот текст, который ввел юзер:
Затем при выводе данных из БД в html страницу мы этот text/plain должны конвертировать в text/html, чтобы каждый символ означал сам себя, а не спецсимвол html. Для этого уже здесь мы используем htmlspecialchars():Если нам потребуется вывести текст в контексте JS кода, то при выводе из БД мы без труда сможем конвертировать прочитанный text/plain в text/javascript, чтобы получилось, например, следующее:В общем случае должно быть именно так. Не нужно зря бессмысленно перегонять из пустого в порожнее.

В БД хранится ровно то, что было введено юзером. Благодаря этому юзер может написать абсолютно любой символ (иначе получится, что невозможно написать <, " или '? искусственные ограничения свободы слова). Если юзер или админ захочет исправить что-то в своем сообщении - он будет редактировать свой исходный текст, а не какой-то мусор (который после редактирования повторно через что-то пропустится? & -> &amp; -> &amp;amp; -> &amp;amp;amp;).

---

Другая сторона проблемы - производительность. Если мы выводим сотни сообщений по Nдесят КБ каждое, и каждое при этом пропускаем через htmlspecialchars(), то производительность явно пострадает. Для решения этой проблемы можно хранить в БД обе версии текста: и исходный text/plain, и сгенерированный из него text/html. При создании/редактировании сообщения юзер видит и пишет свой text/plain, а в БД вносятся оба варианта. При выводе на странице используется уже готовый text/html.

1

Vovan-VE, правильно ли я понимаю, что при сохранении в БД вабще не стоит использовать htmlspecialchars?

Добавлено через 51 секунду
кстати вот это вот

Сообщение от Vovan-VE <input type="button" onclick="return confirm('Уверены?')" />

как будет отображаться в браузере?

0

Сообщение от Love_and_Peace правильно ли я понимаю, что при сохранении в БД вабще не стоит использовать htmlspecialchars?

Не стоит хранить в БД только результат htmlspecialchars. Ибо тогда у нас не будет оригинала. Чтобы отредактировать оригинал, нам придется конвертировать обратно. А зачем тогда вообще конвертировали?

Сообщение от Love_and_Peace как будет отображаться в браузере?

&lt; , &amp; и т.п. - это же html-сущности, каждая из которых рендерится одним символом.

1

Сообщение от Vovan-VE Не стоит хранить в БД только результат htmlspecialchars.

ну а для чего тогда вабще портить оригинал htmlspecialchars'ом? где эти сущности могут быть полезны?
Я читал про htmlspecialchars и знаю, что он нужен, чтобы не запустился случайно неких засланный код, ну тогда его полезно использовать на выходе, но никак при сохранении в БД, разве не так?

0

Love_and_Peace, Сама по себе потребность использовать htmlspecialchars() - это лишь следствие того, что данные выводятся в виде html-страницы. Если бы они выдавались, например, в JSON'е, то вместо htmlspecialchars() была бы другая функция. Если бы данные выводились в виде тупо-текста, например, в примитивную консоль, то тут, пожалуй, не было бы никакой функции преобразования. Суть в том, что надо понимать разницу между собственно данными и представлением этих данных в каком-либо контексте.

Если все операции односторонние и проводятся единожды (один раз написал пост, он внесся в БД один раз, раз и навсегда, и больше с ним ничего сделать нельзя, кроме удаления), то нет никакой разницы, в какой момент времени применять htmlspecialchars() - до внесения в БД или после.
А если же предполагается еще и редактирование существующих постов, то что мы вообще будем редактировать, если у нас не будет оригинала?

1

Сообщение от Vovan-VE Если все операции односторонние и проводятся единожды (один раз написал пост, он внесся в БД один раз, раз и навсегда, и больше с ним ничего сделать нельзя, кроме удаления), то нет никакой разницы, в какой момент времени применять htmlspecialchars() - до внесения в БД или после.

ну к примеру у меня, данные попадают в БД и редактировать их можно только в админке.
Данные, которые заносятся в БД - это обычный текст, со все возможными символами (!,",',#,№... и т.п.). Стоит ли в таком случае использовать ф-ю htmlspecialchars?
Просто если не использовать, вдруг какой-то редиска пропишет в форму вредоносный js-код, к примеру, будет ли мне от этого вред, если я буду использовать htmlspecialchars тока при выходе?

0

Приветствую, Vovan-VE говорит верно лучше всего хранить оригинал, но замете есть ряд неприятных моментов в оригинале которые нужно пресечь даже при выводе в input или textarea например: тря-ля-ля тут куча текста и в конце "/><script>alert('xss');</script> в теге input
только при пресечении этих моментов вывод станет безопасным))

1

Love_and_Peace, Если в БД уже вносится оригинальный текст, то htmlspecialchars() мы в любом случае должны использовать при выводе текста в html-страницу, как если бы использовали json_encode() для преобразования PHP-массива в код JSON.

1

да, это понятно. а как поступить в случае, который описал boong?

0

Love_and_Peace, Да точно так же. У нас на входе text/plain, а на выходе text/html. Значит в любом случае применем htmlspecialchats().

0