Zitat:
Zitat von knuff
jetzt weiß ich warum wir uns mißverstanden haben. ich habe es die ganze zeit so verstanden, das du dich auf das formular beziehst in dem user daten eingelesen werden und es war für mich ein rätsel dass du es nicht für nötig hielst diese daten zu filtern. aber du hast du hast dich auf content in der db bezogen. oh man haben wir lange aneinander vorbei geredet.  |
Hm?
Ich habe mich auf beides bezogen. Je nachdem was du gesagt hast.
Du bist hier im Thread mehrmals hin und her geswitched. Anfänglich ging es um PHP in der Datenbank, das gehört da nicht hin. Auch ein HTML Forumlar gehört da nicht hin. Daten gehören natürlich in eine Datenbank und müssen je nach Kontext entsprechend gefiltert werden. Da wir bisher nur deine Ausgabe gesehen haben, hat mermshaus dich darauf hingewiesen, dass du den Kontextwechsel nicht beachtest. Daher hat auch niemand gesagt, dass du Daten nicht filtern sollst. Im gegenteil, du musst je nach Kontext deine Daten filtern. Dazu gab es auch schon Links.
htmlspecialchars ist die falsche Funktion um Daten für die Datenbank zu validieren, sie ist für die Ausgabe zuständig, wenn du kein HTML "ausführen" möchtest. z.b. in Formulafeldern oder HTML Attribute.
Manche verwenden sie als HTML Filter bei Usereingaben von aussen. Das hat aber Nachteile, weil dadurch auch Sonderzeichen und evtl. Umlaute unnötig umgewandelt werden und macht die Sache schwierig, wenn du dem User HTML teilweise erlauben möchtest.
Daher gibt es keine allgemeingültige Eingabevalidierung, was du aber in einer Datenbank immer machen musst, den Kontextwechsel beachten und schädliche Zeichen maskieren. Das steht aber alles genau in dem bereits verlinkten Artikel.