Witam,

mam pewne wątpliwości - dotyczy on filtrowania danych od użytkownika - filtrować dane przed dodaniem do bazy czy po pobraniu a przed wyświetleniem?

dodatkowo czy stosować mysql_real_escape_string jeżeli wcześniej użyło się htmlspecialchars?

No i ostatnie pytanie - jak rozwiązać problem \r\n zmieniające się na rn po użyciu mysql_real_escape_string - jest to uciążliwe trochę...

Oczywiście pytania są w formie wymiany doświadczenia między doświadczonymi programistami więc proszę nie przesyłać mnie do manuala

Pozdrawiam

mysql_escape_string służy escapowaniu danych wkładanych do zapytania. htmlspiecialchars z bazą nie ma żadnego związku. Każda z funkcji służy zupełnie innym celom

htmlspecialchars użyć przed dodaniem do bazy czy po pobraniu a przed wyświetleniem?

A wiesz do czego służy htmlspecialchars()? Jak tak, to odpowiedź nasuwa się sama.
Jak nie, to przeczytaj do czego w ogóle masz go używać. Jak już się tego dowiesz, to znowu odpowiedź nasunie się sama

wiem jak działa htmlspecialchars ale odpowiedź mi się nie nasuwa... podzieli się ktoś swoim doświadczeniem? Zapisywać oryginalne dane wprowadzone przez użytkownika do bazy (przefiltowane tylko przez mysql_real_escape_string) a przed wyświetleniem ewentualnie filtrować? Chodzi o optymalizacje i zarazem bezpieczeństwo.

Ja htmlspecialchars uzywam przed wyświetleniem. Nie widzę zadnego powodu by uzywac tego do wkładania do bazy.

mysql_real_escape_string() gdy filtrujesz dane które zamierzasz umieścić w zapytaniu.
htmlspecialchars() gdy chcesz wyświetlić dane.

Tak jak nospor mówi, nie widać tu żadnego powodu by korzystać z tej funkcji przed wrzucaniem danych do bazy.