are u kidding me?)
если в переменной $text будет, например html тег script c js скриптом внутри, то этот скрипт выполнится. Это потенциальная XSS уязвимость. Мне нужно такое фильтровать
Пояснение.
У меня такой алгоритм(если опускать подробности):
- обрабатывается uri
- инклудится контроллер, если есть такой роут
- проверка access token, если роут не из списка, где токен не обязателен
- если токен прошёл проверку (JWT, если быть точнее), то нужно проверить, не забанен ли пользователь в БД(вот тут нужно делать запрос в БД)
- теперь уже создается объект контроллера и вызываетя экшн
- к экшену подключается модель и там тоже есть работа с БД
в целях безопасности я бы не делал имя, допустим личной фотки пользователя, легко подбираемым.