Как не допустить попадание тегов в бд и в то же время убрать экранирование перед кавычками в textarea?

Question

[Игорь Себелев]

Здравствуйте, я разрабатываю плагин под Wordpress и использую тег <textarea> в админ-панели. При добавлении в БД текста с кавычками и тегами html автоматически добавляется экранирование и теги естественно тоже никуда не исчезают. В документации нашел функции esc_html( $text ) и esc_textarea( $text ) которые не срабатывают при любых моих попытках. Подскажите, как правильно и на каком уровне их использовать. Внутри тега

<textarea><?php esc_textarea( $text ); ?></textarea>

или именно при добавлении в БД. То есть мне нужно избегать все теги и обратные слэши при выводе

Answer 1

[Игорь Воротнёв]

esc_html / esc_textarea используются на выводе текста в html / тег (в качестве атрибута например) или в textarea соответственно. Эти функции заменяют полученные html-символы (кавычки, угловые скобки) на коды символов, чтобы ваш html-код не побился.

Для вырезания / кодирования тегов / символов при записи необходимо использовать функции из набора sanitize_*

Answer 2

[Дмитрий]

Добрый вечер.
Обратите своё внимание на htmlpurifier.org
Обрабатывать данные перед записью надо при помощи mysqli_real_escape_string

Comments

[Игорь Воротнёв]

В WordPress для этих целей уже все есть готовое.

[Дмитрий]

Игорь Воротнёв: Так почему не использует?

[Игорь Воротнёв]

slo_nik: Потому что автор о них не знает, так же как и вы. Смотрите мой ответ.