Как правильно пользоваться htmlspecialchars mysql_real_escape?

Question

[gomer1726]

Поля провожу примерно через такую функцию

public function mysec($str){
		$str = htmlspecialchars($str);
		$str = mysql_real_escape_string($str);
		return $str;
	}

Но на входе (когда вывожу на страницы) то выводятся так &quot экранирует в общем как быть?
может я вообще плохо все делаю изначально?

Comments

[AlikDex]

htmlspecialchars экранируют при выводе на экран, а не при записи в базу.

Answer 1

[vdem]

Не используйте функции mysql_xxx() для работы с БД, используйте PDO и именованные параметры - и не будет проблем с записью данных в БД. Для вывода данных, введенных пользователем, можно использовать htmlspecialchars().

Answer 2

[trevoga_su]

phpfaq.ru/mysql/slashes - тут ответы на все твои вопросы

может я вообще плохо все делаю изначально?

конечно
кто тебе сказал, что в базу надо писать мнемоники html? где ты это прочел, что данные перед записью в базу надо прогонять через htmlspecialchars?

ну и на - www.database.phpinfo.su - что бы не геммороиться с mysql_real_escape_string и PDO

Comments

[vdem]

А какой геморрой с PDO? Может у Вас не в PDO проблема, а на физиологическом уровне? Database - вообще отстой какой-то.

[trevoga_su]

vdem:
> А какой геморрой с PDO?

По ссылке выше написано. Научитесь читать. PDO - это сырая приблуда, которой пользоваться в реальном коде просто неудобно. И не создано PDO для клиентского кода.

[vdem]

trevoga_su: Сырая приблуда - это Ваша "Database" (если не сказать хуже). Или Вы считаете себя умнее разработчиков, например, Laravel?

[vdem]

trevoga_su: Научитесь хоть методы как-то одинаково именовать, а то намешали названия и с подчеркиваниями, и с camel-case.

[DevMan]

vdem: геморрой с pdo в воображении автора.
я ему уже говорил об этом, но он твердолобый.

[trevoga_su]

DevMan: научитесь читать, а не утверждать с пеной у рта, что абсолютно сырая абстракция - верх совершенства.

[DevMan]

trevoga_su: не нужно приписывать мне свои фантазии.
в прошлем ответе тебе все объяснил. если не дошло - не мои проблемы.

[trevoga_su]

DevMan: советую все же читать - https://habrahabr.ru/post/148701/ - разжеванные аргументированные вещи
утверждать, что PDO - это пиздец как удобно может только человек, который не писал никогда на более простых и более удобных вещах

[DevMan]

trevoga_su: ты бы еще привел в качестве аргумента 2006 год, когда pdo не входил в состав php, а ставился через pecl - это была бы победа побед.
для тех, кто на бронепоезде повторяю:
1. сравнивать pdo (предоставляющий единный интерфейс работы с 10+ субд) и свой велосипед, работающий только и исключительно с mysql - может только очень одаренная личность.
2. постоянно ссылаться на статью 12 года, большинство тезисов, которой на данный момент не применимы к pdo или реализуются при помощи pdo - может только очень одаренная личность.
3. написать свой врапер, работающий исключительно с mysql вместо написания аналогичного врапера над pdo, и гордиться этим, попутно волая "pdo - говно" - может только альтернативно одаренная личность.

[DevMan]

trevoga_su: и чтоб 2-а раза не вставать: я никогда и нигде не утверждал, что "PDO - это пиздец как удобно". ты опять приписал мне свои воспаленные фантазии.

[vdem]

DevMan: Ну я и написал свой враппер для PDO :) Самые простые запросы вообще без SQL. Для небольших проектов очень удобно, когда нет смысла тянуть Doctrine или вроде того. Один файл, один класс.

[DevMan]

vdem: так мои коменты и не к вам)
я просто реально не могу понять слоупочность некоторых товарищей, которые выдают ее за преимущество.

[trevoga_su]

DevMan: > 1. сравнивать pdo (предоставляющий единный интерфейс работы с 10+ субд)

Да толку что он предоставляет интерфейс для 10+ баз, если абстракция сырая и абсолютно не приспособленная для написания удобного кода?

> 2. постоянно ссылаться на статью 12 года, большинство тезисов, которой на данный момент не применимы к pdo или реализуются при помощи pdo - может только очень одаренная личность.

C чего вы взяли, что не применимы? Статья абсолютно актуальная.

[DevMan]

trevoga_su: с того, что все тезисы статьи реализуются на pdo.

[DevMan]

trevoga_su: вот теперь включи хоть немного мозг и ответь на вопрос, что мешало тебе реализовать яростно продвигаемый www.database.phpinfo.su на pdo?