Как правильно экранировать поля, содержащие разметку?

Question

[photosho]

Если "htmlspecialchars" преобразует треугольные скобки в html-сущности, то как экранировать перед передачей в базу поля, содержащие разметку? После сохранения текста, по которому прошлись функцией "htmlspecialchars", при выводе на странице разметка (p, div, span) начинает отображаться как текст.

Comments

[Дмитрий]

Не надо экранировать при записи, просто через подготовленное выражение вставляйте оригинал, если надо, то при выводе уже делайте манипуляции

Answer 1

[Ипатьев]

Если текст содержит HTML теги, которые должны выводиться как есть, то его не надо обрабатывать функцией, которая преобразует теги в HTML сущности.

Если же вопрос про обработку данных перед их записью в БД, то надо задать себе вопрос, какое отношение функция htmlspecialchars имеет к базе данных.

Логика - это просто незаменимый инструмент для программиста.

Comments

[photosho]

Нужно защититься ото всяких инъекций. Я, главное, не знаю, защищает ли уже Bitrix от них при использовании API (например, CIBlockElement::update). Если нет, то нужно делать вручную, а вот как делать, чтобы не повреждались поля, содержащие разметку? Если их просто не обрабатывать, не будет ли это уязвимостью?

[Ипатьев]

От "всяких" иньекций защититься невозможно в принципе.
Защититься можно только от конкретных.
Определитесь, от каких вы хотите.
после этого задайте вопрос в интернете, защищает ли CIBlockElement::update от такой инъекции.

[Kirgus]

Ипатьев, с помощью ИИ можно защититься от "всяких")

[Ипатьев]

Кирилл Гусарев, вы не там поставили кавычки.

[Kirgus]

Ипатьев, :DDD