Есть что то логичнее для фильтрации запросов?

Question

[chelkaz]

Во всем проекте много разных форм. По сути пользователю нужны все символы для полноценного описания. Возможно есть что то готовое и проверенное? На данный момент я делаю через цикл:

foreach ($request->all() as $key => $val) {
$new_val = htmlspecialchars(preg_quote(strip_tags($val),"'"), ENT_QUOTES);
$request->merge([$key => $new_val]);
}

Answer 1

[Stalker_RED]

По сути пользователю нужны все символы для полноценного описания.

1. На входе ничего не меняем, только экранируем sql-инъекции перед записью в БД (это уже встроено в ORM в большинстве фреймворков)
2. Экранируем/фильтруем текст при выводе в шаблон.

Comments

[Сергей Протько]

экранировать ничего не надо, prepared statements сами все сделают за нас (если мы их юзаем конечно, а если нет - то стоило бы).

Answer 2

[eskrano]

Эскейпить надо только при выводе.
А тот код который приложили тут - выкиньте и никогда не доставайте.

Comments

[chelkaz]

Но если не оставить strip_tags то пользователи смогут вводить теги. Получается оставить только strip_tags ?

[Дмитрий Евграфович]

chelkaz: теги надо при выводе переменной экранировать, ларавел делает это автоматически с помощью {{ }} в блейде. В базу также sql инъекция не проникнет, если вставляете встроенными в ларавел средствами (такими как eloquent), а не составляете сырой insert запрос.

Answer 3

[Andrzej Wielski]

1. Для записи в БД всегда используйте модели, и встроенный ORM. Он за вас все экранирует.
2. Для вывода используйте blade шаблоны, выводите переменную следующим образом:
{{ $title }}
Если понадобится, чтобы html теги выводились обычным образом, используйте следующую конструкцию:
{!! $title !!}

Если вы по какой-то причине не хотите использовать Blade (а зря, инструмент хороший) - используйте встроенную в laravel функцию-хелпер e() для экранизации:
<?php echo e($title); ?>