Mysql
 sql >> Base de données >  >> RDS >> Mysql

est-il préférable d'échapper/encoder l'entrée utilisateur avant de la stocker dans la base de données ou de la stocker telle quelle dans la base de données et de l'échapper lors de la récupération ?

  1. Pourquoi pensez-vous que vous utiliserez toujours les données dans un contexte HTML ? "Je <3 toi" et "Je <3 toi" ne sont pas les mêmes données . Par conséquent, stockez les données comme prévu dans la base de données. Il n'y a aucune raison de le stocker échappé.
  2. HTML échappant les données quand et seulement quand c'est nécessaire vous donne la confiance de savoir ce que vous faites. Ceci :

    echo htmlspecialchars($data);
    

    est bien meilleur que :

    echo $data; // The data should already come escaped from the database.
                // I hope.