Witam,

Ostatnio natrafiłem na dosyć nietypowy problem. Podczas przesyłania danych w formacie JSON z formularza do PHP, przed jakąkolwiek operacją na tych danych zawsze instynktownie używam htmlspecialchars() oraz mysql_real_escape_string(). Sęk w tym, że tak "zabezpieczone dane" z początkowej postaci:

na

nie są prawidłowym formatem JSON i nie można ich użyć w funkcji json_decode().

Co powinienem zrobić? Zamienić " z powrotem na cudzysłowia, czy może zmienić sposób filtrowania tych danych?

Używaj PDO i binduj dane, to nie będziesz musiał ich filtrować, wszystko może iść bezpośrednio.

Nic nie rób, jeżeli z form przychodzi JSON to wsadź go w json_decodi obsługuj błędy.

Funkcji filtrujących nie używa się "instynktownie", a jedynie w tych miejscach w których są one niezbędne do prawidłowego/bezpiecznego działania programu. Ty w tej chwili nie zabezpieczasz niczego, a jedynie zaśmiecasz dane. Jeżeli nie rozumiesz w jakim celu stosuje się daną funkcję, zapytaj - na pewno ktoś poza odesłaniem do dokumentacji wyjaśni Ci "ogólny powód".

Crozin:
Miałem na myśli, że wszędzie tam, gdzie dane są przesyłane przez zapytania MySQL.

Dzięki za pomoc, spróbuję użyć json_last_error() i będę sprawdzał czy dane są poprawne.