Tweet
Richtig Escapen und Ausgeben
Hallo,
ich möchte Usereingaben aus einem Form in eine DB schreiben.
Das HTML5 Doc liegt in UTF-8 vor. Die DB Kollation ist UTF-8_general_ci.
Ich beschreibe kurz die Speicherwege.
Der User gibt einen Text in eine CKEditor-Textarea. Darin entahlten sind u.U. HTML-Code (also <p><b><i><br> usw.)
Diese Eingaben werden nur mittels mysqli_real_escape_string() in die DB geschrieben.
Ich hatte mir gedacht die Usereingaben auch erst noch auf wenige HTML-Elemente zu bereinigen via "strip_tags".
Eine Filterung via CK-Editor scheidet natürlich aus.
Wie verarbeitet Ihr eure Usereingaben? Ich habe es bisher immer "irgend wie" gemacht. Immer Escaped aber mit Zeichensätzen hatte ich schon immer so meine Probleme.
Cu Susi
ich möchte Usereingaben aus einem Form in eine DB schreiben.
Das HTML5 Doc liegt in UTF-8 vor. Die DB Kollation ist UTF-8_general_ci.
Ich beschreibe kurz die Speicherwege.
Der User gibt einen Text in eine CKEditor-Textarea. Darin entahlten sind u.U. HTML-Code (also <p><b><i><br> usw.)
Diese Eingaben werden nur mittels mysqli_real_escape_string() in die DB geschrieben.
Ich hatte mir gedacht die Usereingaben auch erst noch auf wenige HTML-Elemente zu bereinigen via "strip_tags".
Eine Filterung via CK-Editor scheidet natürlich aus.
Wie verarbeitet Ihr eure Usereingaben? Ich habe es bisher immer "irgend wie" gemacht. Immer Escaped aber mit Zeichensätzen hatte ich schon immer so meine Probleme.
Cu Susi
Kommentar