10/10/2018, 11:42

[PHP] Có nên dùng "addslashes" và "htmlspecialchars" cùng lúc???

Mình làm 1 form cho thành viên post bài gồm có phần tiêu đề và nội dung.

Nội dung thì đã có cái editor nó xử lý rồi.

Còn phần tiêu đề thì mình dùng hàm addslashes để chống SQL injection, và dùng htmlspecialchars để chuyển các thẻ html thành những ký tự đặc biệt để khi có 1 tên nào đó cố tình chèn thẻ html vào tiêu đề thì coi như hỏng bét.

Khi show ra web thì mình dùng hàm htmlspecialchars_decode để chuyển ngược lại các ký tự đặc biệt đó và kết quả rất ưng ký, ko một lỗi nào. Nhưng mà khi xem trong database MySQL thì nó toàn là những ký tự đặc biệt, nhìn rất là rối mắt.

Mình có nghiên cứu các source lớn như vbb và wordpress thì ko thấy nó mã hóa kiểu đó mà nó cho post thẳng các thẻ html vào luôn. Không biết với cách làm của nó và cách làm của mình thì cách nào tối ưu hơn?? Mình còn gà trong vấn đề bảo mật

Thanks!
trungvn.info viết 13:55 ngày 10/10/2018
ko ai biết php àh :|
vnntech.com viết 13:51 ngày 10/10/2018
nếu bạn dùng mysql thì dùng mysql_escape_string là Ok không cần dùng đến 2 cái đó đâu.
trungvn.info viết 13:53 ngày 10/10/2018
Được gửi bởi vnntech.com
nếu bạn dùng mysql thì dùng mysql_escape_string là Ok không cần dùng đến 2 cái đó đâu.
Không được bạn à, dùng hàm đó thì khi cố tình chèn thẻ <div> vào title thì khi show lên web cũng sẽ bị bể khung thôi, vì dư 1 thẻ div
haicop viết 13:51 ngày 10/10/2018
Title thì phải striptag hết chứ, lo gì.
Bài liên quan
0