Эта тема на forum.dklab.ru


Anonymous: экранирование специальных символов.
Как проще всего при получении информации из формы делать разэкранирование кавычек, тэгов и т.д., а при обратном занасении в форму,
наоборот, маскировать их, чтобы всё отображалось "как надо", чтобы нельзя было порушить страницу и/или вписать управляющий код.
BikerSoul:
Гость:
Возможно, Вам сюда
http://ru2.php.net/html_entity_decode
7.3.:
а при обратном занасении в форму...
...это делается автоматически, насколько я могу судить...
Anonymous:
можно поконкретнее, простите?
7.3.:
То есть когда отсылается форма, то что мы видим в поле input визуально - то и отсылается, хотя вместо кавычек могут стоять и их эквиваленты как результат htmlspecialchars...
Anonymous:
если я сделаю вот так:

foreach ($registration as $key => $reg)
$registration[$key] = htmlentities($reg, ENT_QUOTES);
у меня заэкранируются все элементы масства $registration ?
Дмитрий Котеров:
При выводе тэгов вроде input и textarea надо обязательно применять htmlspecialchars() — это по стандарту HTML. При приеме же даных из формы ничего переделывать не надо (разве что можно удалить паразитные слэши перед кавычками, которые вставляются при включенном режиме magic_quotes_gpc — для этого stripslashes() предназначена).

http://php.net/stripslashes
http://php.net/htmlspecialchars
7.3.:
у меня заэкранируются все элементы масства $registration ?
Если эта переменная пришла из формы и Вы так боитесь, что в ней остались элементы htmlspecialchars - то это не так. Это что-то принципа what you see is what you get. Они уже «заэкранированы».
Дмитрий Эсс:
http://faq.phpclub.net/slashes

Эта тема на forum.dklab.ru