Pobieram z bazy dane. Część z nich to np. wartości atrybutów HTML. Czy one również mają być filtrowane htmlspecialchars();?

[PHP] pobierz, plaintext 
<p class="'.htmlspecialchars($config['class']).'">'.htmlspecialchars($content).'</p>
[PHP] pobierz, plaintext 

Gdy próbowałem:

[PHP] pobierz, plaintext 
$config['class'] = '<script>alert()</script>';
 
<p class="'.$config['class'].'">...</p>
[PHP] pobierz, plaintext 

to skrypt JS się nie wykonuje.

Poczytaj sobie https://docs.zendframework.com/zend-escaper...tml-attributes/

Czy dobrze rozumiem?

Jeżeli mam pewność, że dane znajdą się wewnątrz podwójnego cudzysłowu: class="'.$class.'" to mogę używać escapeHtml() z tej klasy. Natomiast jeżeli nie mam takiej pewności powinienem używać: escapeHtmlAttr()?

Natomiast filtrować wyprowadzana dane należy zawsze niezależnie od tego czy wartość atrybutu jest w podwójnym, pojedynczym czy bez cudzysłowu?

WYbacz, ze troche nie na temat moze, ale jak widze, ze wklase probujesz wlozyc taki tekst:
"<script>alert()</script>"
To odnosze nieodparte wrazenie ze cos tu jest nie halo i zamiast martwic sie o escapowanie to moze lepiej poprawic to i owo w samej strukturze aplikacji?

escapeHtmlAttr zawiera ściślejsze reguły usuwania znaków i dotyczy atrybutów. Nie bardzo rozumiem jak do takiego wniosku doszedłeś. Nazwy metod jasno mówią gdzie je należy wykorzystywać. Oczywiście to tylko przykład, możesz swoje rozwiązanie zaimplementować, ale dobrze wyjaśnia gdzie leży problem. Dla atrybutów w cudzysłowach powinno być

[PHP] pobierz, plaintext 
htmlspecialchars($url, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8')
[PHP] pobierz, plaintext 

Wszystko co pochodzi od użytkownika ma być bezwzględnie filtrowane i weryfikowane.

To chyba nieporozumienie. Ja nie chcę w atrybut HTML class (czy jakikolwiek inny) wsadzić kodu JS tylko się zastanawiałem jaki byłby efekt takiego wsadzenie biorąc pod uwagę, że wartość tam wsadzana pochodzi z zewnętrznego źródła (np. z bazy danych). Chyba, że ja czegoś nie rozumiem.

Czy:
Wszystko co pochodzi od użytkownika === Wszystko co pochodzi z zewnętrznego źródła
?

Pobieram z "własnej" bazy danych konfigurację np.:

[PHP] pobierz, plaintext 
$config['iloscElementow'] = $db->('config');
[PHP] pobierz, plaintext 

to przed użyciem mam filtrować i weryfikować np.:

[PHP] pobierz, plaintext 
$iloscElementow = (int) $config['iloscElementow'];
[PHP] pobierz, plaintext 

i dopiero korzystać z $iloscElementów, a nie z $config['iloscElementow']?