Задать вопрос
sorry_i_noob
@sorry_i_noob

Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)?

Здравствуйте! Должен ли я при использовании какого-либо популярного фреймворка (Yii, Laravel, Symfony...) обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? При сохранении в БД, например / получении значений из нее.
Или в популярных фреймворках уже это сделано за меня?

Я знаю, что об SQL инъекциях можно не переживать, если использовать query builder или ORM. А что насчет xss?
Извините, если вопрос слишком глупый, я новичок.
  • Вопрос задан
  • 500 просмотров
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
alexey-m-ukolov
@alexey-m-ukolov Куратор тега PHP
Функция htmlspecialchars применяется не при сохранении в БД и не при получении значений из неё - она нужна для экранирования пользовательского ввода, который попадает в итоговый html.

Для ответа на свой вопрос, воспользуйтесь документацией фреймворка, который вас интересует. Вот, для начала, ссылка на документацию Laravel.
Ответ написан
RomaZveR
@RomaZveR
CEO AlertMoney, PHP/Golang Developer
При выводе записей из бд нужно делать экранирование от xss самому. Курите доки по вашему шаблонизатору и классам экранирования в фреймворке.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы