Зачем нужен strip_tags и real_escape_string если есть htmlspecialchars?

Question

[fapchat]

php теги и так не будут работать, если сломаются символы < и >

Comments

[Sanes]

Документацию почитайте.

[fapchat]

Sanes, читал

Answer 1

[FanatPHP]

Потому что это совершенно разные функции, которые не имеют никакого отношения друг к другу.
Но еще со времен палеолита по похапешным скриптам кочуют плоды не приходящего в сознание индусского гения - функции "очистки" входящих параметров, куда набито всё, что по мнению автора имеет хоть какое-то отношение к безопасности.

И при всем при этом, для входящих параметров ни одна из этих функций не нужна.

- strip_tags это какой-то рудимент. Сейчас практически не используется.
- real_escape_string это вообще совсем из другой оперы. к HTML никакого отношения не имеет. Причем в своей области тоже рудимент и применяться не должна.
- htmlspecialchars единственная осмысленная функция из всех перечилсенных. но должна применяться не для "очистки" при вводе, а при выводе пользовательских данных в HTML

Comments

[fapchat]

поэтому я и задал, так как в книге все 3 функции применялись ради безопасности, мне стало непонятно, зачем удалять теги через strip_tags, если htmlspecialchars и так изменит их таким образом, что теги уже не смогут наврядить коду, как и кавычки

[FanatPHP]

Эту книгу надо выбросить

[fapchat]

А насколько давно эти функции превратились в рудименты? книга не такая уж и старая

Revision History for the Fifth Edition
2018-05-08: First Release

[FanatPHP]

при чем здесь возраст? ты вообще мой ответ читал?
Сам по себе код,где намешаны эти проверки, является идиотским. И такой был всегда.
С первого издания, до последнего

[fapchat]

FanatPHP,

при чем здесь возраст?

я понимаю значение слова рудимент, как что-то устаревшее

[FanatPHP]

fapchat, послушай
я понимаю, что как новичок, ты не можешь осилить большой текст в три строчки целиком.
И видишь только одно слово. Это нормально.

Поэтому я велел тебе прочитать мой ответ ещё раз.

Дело не в том, какая йфункция устаревшая, а какая нет. А в том, что ни применяются все вместе, то есть автор - идиот. Так понятнее?

[fapchat]

FanatPHP, я это и так понял, я осознано прочёл твой ответ

[fapchat]

FanatPHP, но в любом случае, если ты писал

strip_tags это какой-то рудимент. Сейчас практически не используется

, то, как я понимаю, когда-то он использовался, но это неважно

[fapchat]

FanatPHP, пожалуйста посоветуйте какую-либо литературу про защиту сайта на php

[FanatPHP]

Для общего ознакомления можешь почитать здесь
А книжку я рекомендую Котерова, последнее издание.

[fapchat]

FanatPHP, sps

[fapchat]

FanatPHP, у o'Relly все книги,которые я читал, содержат кучу какой-то ненужной инфы.

Answer 2

[Artem Ivanov]

var_dump прогоните по всем функциям и увидите разницу

Answer 3

[Araik]

strip_tags удаляет теги, htmlspecialchars преобразует теги в HTML сущности

Comments

[Araik]

Написано же все в мануале, что именно не понятно?

real_escape_string - Экранирует специальные символы в строке для использования в SQL-выражении, используя текущий набор символов соединения