Опять ты со своей параноей
Я не могу понять, кто тебя так напугал, что ты переворачиваешь все с ног на голову. Вот давай по порядку разберемся.
1. Юзер заполняет форму. Данные отправляется на сервер. Они уже,
в любом с лучае попадут в
скрипт. В том виде, в котором их юзер написал.
2. Вот тут ты выставляешь кордон из htmlspecialchars и прочих преобразований. То есть в
скрипте. Эти данные, хочешь ты или нет, все равно находятся в оперативной памяти.
3. Потом, успокоившись, что вроде как но пасаран, отправляешь их в базу. Увеличивая при этом её объём и затрудняя последующую с ней работу.
Теперь такой момент. Когда идет запрос, это тоже самое, как будто юзер посылает данные в
скрипт. Только юзером теперь является MуSQL.
Ты со спокойной душой принимаешь их
скриптом, надеясь на то, что все там в порядке.
А какая разница то? Если в базу попадет вредоносный код, не через твой кордон, а слева. Шелл кто нибудь закинет или тупо пароль троянчиком уведет, что тогда? Представь объём информации, который тебе предстоит перелопатить, дабы найти этого червя.
А так как ты выдаешь данные юзеру из базы в том виде, в котором они есть, то все мы становимся заложниками этой ситуации.
Охранять надо сам
скрипт. И выдачу в первую очередь. От всех возможных посягательств, буде то данные из http либо от сервера баз данных.
Ты не просто усложнил себе жизнь, увеличив базу за счет разметки и обратных преобразований, но и никоем образом не улучшил этим безопасность.
Увеличение скорости выдачи за счет отсутствия фильтрации - очень слабый и подозрительный аргумент. Если это критичном в диапазоне, то есть куча других методов и механизмов, эфективных и безопасных, избежать накрутки трафика.
Но ни коем образом не хранить в базе венигрет из непонятно чего, что потом зачастую невозможно привести в божеский вид.
Весьма вероятно у тебя реализована дополнительная защита, но это же лишний головняк и усложнение. В сто раз проще использовать
php при записи данных как трензитную структуру, просто переместить то что дал юзер в базу. А уже
потом фильтровать и защищать
исполняемые скрипты. Любыми методами. Тут все средства хороши. Боишься восклицательных знаков - да ради бога, можешь хоть вообще все символы заменить.
Я прошлый раз промолчал, но ты же советуешь это людям. Людям, которые крайне мало понимают в механизмах происходящего. По большому счету тем самым увеличивая количество потенциально уязвимых сайтов в сети.
Как страшно жить.