Какой фильтр в пхп лучше htmlspecialchars или sanitize_special_chars?

Question

[Антон Шульц]

Чем отличаются фильтры htmlspecialchars и sanitize_special_chars?
Одного из них же достаточно для защиты от хтмл тегов и скриптов при записи в БД?
И при запросе из БД нужно опять проводить строку через этот фильтр?

Comments

[Евгений]

При записи вобще не надо их юзать, только при выводе

[Дмитрий]

при записи в бд не нужен фильтр, а нужно подготовленное выражение, фильтр надо на выводе делать, там же обработку всяких ббкодов смайлов и прочего

[Антон Шаманов]

Евгений, Дмитрий, sql инъекции 2 порядка

[Евгений]

Антон Шаманов, ответ был дан именно на эти 2 функции, они нужны именно при выводе данных на страницу, не не при записи данных в бд

[Антон Шульц]

Антон Шаманов, подскажите пожалуйста, как правильно организовать проверку ввода и вывода данных из БД?

[Антон Шаманов]

MrAnderson1999, это очень долго получится, начни с https://habr.com/ru/post/66057/

Answer 1

[Sergey]

При записи в БД фильтр не использовать.

Если на выходе нужен только текст используй это:
htmlspecialchars($content, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8' );

Если нужен HTML используй это:
htmlpurifier - htmlpurifier.org