Я использую функцию htmlspecialchars ()
для предотвращения атак XSS. У меня есть сомнения относительно того, какой из следующих способов хранения данных в базе данных лучше.
Метод 1: Сохраните введенные пользователем значения после применения функции htmlspecialchars ()
. При использовании этого пользовательского ввода «<скрипт>»
станет «<скрипт>».
Метод 2: Сохраните введенные пользователем данные и примените метод htmlspecialchars ()
при извлечении данных и отображении их на странице.
Причина моих сомнений в том, что я считаю, что при использовании метода 1 будут накладные расходы на базу данных, тогда как при использовании метода 2 данные необходимо преобразовывать снова и снова при запросе через php. Поэтому я не уверен, какой из них лучше.
Для получения дополнительной информации я использую htmlspecialchars ($ val, ENT_QUOTES, «UTF-8»)
, чтобы также преобразовать «и».
Пожалуйста, помогите мне развеять мои сомнения. Также предоставьте объяснение, если возможно.
Спасибо.