Csrf sablonovaci system – PHP – Fórum – Programujte.com

Jak přistupujete k datům které chcete vypisovat uzivateli? a) jsou to data ktere jsou uloženy v DB a jsou to aplikační data např. chybové hlášky apod. - ty se nemusí ošetřovat htmlspecialchars(). b) jsou to data od uživatele které se ukládají do DB a ty se musí musí ošetřit pomocí htmlspecialchars(). např. nějaký komentáře z nějakého fora . děláte to tak nebo jak Vy přistupuje k různým datům které chcete vypisovat ?. V případě aplikačních dat ukládáte data do DB  již s html značkami a ty jen vypíšete bez ošetření? a v případě uživatelských dat ošetřujete úplně vše? zajímá mně to proto že já mám vclastní šablonovací systém a ten ošetřuje jak aplikační data tak uživatelská data a do DB ukládám jen čisté texty a html tagy přiřazuje šablonovací systém

#1 str

1. Všechny výstupy z DB ošetřuji přes htmlspecialchars(). I do chybových hlášek může někdo vložit & nebo <>
2. Do DB zásadně ukládám neošetřená data
3. Do DB se značky HTML nedávají. Proto se používají BB kódy. HTML značky patří do šablony.

Dík přesně to jsem potřeboval vědět

Mozna by stalo zminit, ze do db se nedava html proto, ze kdyby hacker napadnul db a vlozil tam html, tak by mu to php pak odfiltroval. A v BB kodech nelze udelat snadno incident jako v html.

#4 peter
HTML se do DB nedává hlavně proto, aby ta data byla použitelná i jiným způsobem, než jen pro web. Když by z toho někdo chtěl udělat třeba PDF, tak by se to dělalo docela blbě.