Как правильно сохранять текст в БД и затем выводить его?

Question

[Artem0071]

Добрый день!

Я запутался.. Как правильно сохранять текст в БД и затем его выводить? И при этом чтобы в БД ничего не удалили и вывелось все красиво.

Я хочу создать Блог, в нем человек вводит какой то текст, и при этом может использовать тэги.

В var_damp($_POST['text']) у меня выводит:
$_POST['text'] =>жирный текст икурсив

Если я делаю htmlspecialchars($_POST['text']), то var_damp выводит следующее

$_POST['text'] => <b>жирный текст</b> и <i>курсив</i>

В общем, как будет правильнее это сохранить в БД и затем вывести на страницу? И при этом чтобы никто в БД ничего не удалил и не изменил, и чтобы на клиенте не вывалилось никаких неожиданных alert'ов

Заранее спасибо!

Answer 1

[Александр]

Если используете PDO - сохраняйте как есть, без каких либо изменений, если сами пишите запросы, тогда нужно экранировать кавычки.

var_damp к БД не имеет никакого отношения, не смотрите на него.

Answer 2

[d-stream]

Как один из вариантов - хранить в БД исходный текст с тегами наподобии BB-кодов, а там где надо отображать html - парсить эти коды и заменять на соответствующие html конструкции

Второй - "наоборот" в базе хранить уже готовый html, но "рядышком" в комментариях - исходные BB-коды (чтобы при редактировании пользователем сообщения не пришлось делать обратную трансформацию.

Подсмотреть реализации можно будет исходниках движков форумов типа phpBB, Invision Power Board и т.п.

Comments

[ThunderCat]

автор нигде не писал про ВВ теги, даже наоборот - указал что в базу ложится как есть хтмл.

[d-stream]

ThunderCat: это достаточно опасная штука, поэтому народ и ушел давно от html тегов как таковых
Либо bb-like, либо псевдоHTML

[ThunderCat]

d-stream: ммм, наш верстальщик опасный тип, курит чистый хтмл... Опасность в хтмл конечно есть, но вовсе не при вводе, скорее при выводе, и тут уже надо включать фильтры вывода. А хранить что прислали.

[d-stream]

ThunderCat: пока это 1-2 внутренних сотрудника - фиг бы с ним, ежели человек хочет "создать блог" - совсем не факт что писать туда будет только ответственный сотрудник

если же это "мой бложек на моем сайте" - дык хоть через phpmyadmin или cli ручками -)

Answer 3

[ThunderCat]

При нормальной вставке (например через PDO) хранить как дал юзер, при выводе можно резать "неугодные" теги, символы и прочее.
В целом: верный подход - хранить as is, выводить фильтруя.