Как обрабатывать данные form на сервере, инъекции?

Question

[Павел]

Всех с наступающим!

В форму обратной связи могу вставить скрипт и он в таком же виде выйдет в заказах, получается можно сделать всякие инъекции

Как от этого защититься и как защищаются?

Знаю что можно использовать вот такую штуку на выводе

{!! html_entity_decode(nl2br(e($m->description))) !!}

, но безопасно ли это? Нужно ли еще до занесения в базу вставлять спецсимволы?

Answer 1

[Alex Wells]

Пишите в базу как есть, выводите с экранизацией (в любом шаблонизаторе или фронтэнд фрейме она есть из коробки). В случае блейда это {{ }}, нахрена вы используете {!! !!} мне не понятно.