Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)?

Question

[sorry_i_noob]

Здравствуйте! Должен ли я при использовании какого-либо популярного фреймворка (Yii, Laravel, Symfony...) обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? При сохранении в БД, например / получении значений из нее.
Или в популярных фреймворках уже это сделано за меня?

Я знаю, что об SQL инъекциях можно не переживать, если использовать query builder или ORM. А что насчет xss?
Извините, если вопрос слишком глупый, я новичок.

Answer 1

[Алексей Уколов]

Функция htmlspecialchars применяется не при сохранении в БД и не при получении значений из неё - она нужна для экранирования пользовательского ввода, который попадает в итоговый html.

Для ответа на свой вопрос, воспользуйтесь документацией фреймворка, который вас интересует. Вот, для начала, ссылка на документацию Laravel.

Comments

[Андрей К]

От себя добавлю yii\helpers\Html::encode($textFromDb)

[sorry_i_noob]

Я правильно понял, функции strip_tags, htmlentities, htmlspecialchars нужно использовать при выводе какой-либо информации, поступившей от пользователя? Выводе на страничку.
И все, в других случаях эти функции для защиты от XSS применять не нужно?

[Алексей Уколов]

XSS — это добавление на страницу скриптов, которых там быть не должно. Так что да.

Answer 2

[Roman Terekhin]

При выводе записей из бд нужно делать экранирование от xss самому. Курите доки по вашему шаблонизатору и классам экранирования в фреймворке.