Добрый день
Подскажите правильную логику обработки введенных пользователем данных.
Пользователь вводит данные
Мы данные сохраняем в БД
Выводим страницу пользователю для просмотра, товар например
Позволяем отредактировать эти данные.
Необходимо определится с экранированием тегов HTML для отображения к примеру спасает strip_tags. Где нужно там htmlspecialchars.
Отсюда вопрос, на каком этапе использовать экранирование чистку введенных данных, при сохранении в бд, или при выводе. Если при вставке в БД тогда при редактировании в textarea input попадают HTML теги обрамленные сущностями не читабельными пользователю и тд.?
|