Dobry wieczór.

Dziś postanowiłem napisać prosty skrypt tablicy newsów. W celu sformatowania tekstu używam znaczników HTML. Ponieważ funikcja strip_tags nie trawi tekstu zawierającego w sobie cudzysłowy ("), apostrofy (') oraz backslasha, zwłaszcza na końcu newsa, skorzystałem z następującego kodu, który eliminuje mój problem

[PHP] pobierz, plaintext 
function pan_arnold_boczek($content)
{
$bloom=str_replace("&","&",$content);
$stella=str_replace("\"",""",$bloom);
$tecna=str_replace("\'","'",$stella);
$flora=str_replace("\\","\",$tecna);
return $flora;
}
[PHP] pobierz, plaintext 

Chciałbym się dowiedzieć czy postąpiłem prawidłowo zamieniając złośliwe znaki specjalne HTML na ich kody ASCII. Tak sformatowany tekst ląduje później do funkcji strip_tags, która usuwa z niego wszystkie znaczniki poza <br>,<strong>,<img> oraz <a>.

[PHP] pobierz, plaintext 
function marian_pazdzioch($content)
{
$klub_winx=pan_arnold_boczek($content);
$czarodziejka_layla=strip_tags($klub_winx,"<br><strong><img><a>");
return $czarodziejka_layla;
}
[PHP] pobierz, plaintext 

Uzyskany w ten sposób tekst wędruje do bazy danych.

[PHP] pobierz, plaintext 
$mojtekst=$_POST['sirenix'];
//Zakładamy że w zmiennej $_POST['sirenix'] znajduje się tekst z kodem HTML
$zakochany_w_bloom=marian_pazdzioch($mojtekst);
$query="INSERT into kiepscy VALUES(NULL,\"karabin\",\"".$zakochany_w_bloom."\","666");
[PHP] pobierz, plaintext 

Próbowałem wielu złośliwych kombinacji, wszystkie przechodziły próbę. Nie wiem jednak czy ten sposób jest właściwy do przechowywania tekstu sformatowanego w bazie danych MySQL.

ostatnio ktos tu pisal chyba nospor ze przy zapisie do bazy tylko escepowac a przy wyswietlaniu/odczycie dopiero te funkcje ktore tu prezentujesz striptags etc. ja jeszcze nie mam duzego doswiadczenia z sql

W przypadku insert/update nie ma potrzeby filtrować danych przy wkładaniu ich do bazy, a dopiero przy wyświetlaniu.
Tutaj ten temat jest poruszony - Temat: MySQLPHP PDO ochrona danych