twin
А что ты предложишь ? - addsleshes ?
Я когда-то что увидел то и юзаю.
Ведь он спец символы HTML-a переводит в текст ну и всякий там уже кавычки обрабатываю....


Какой вы порядок используете ? и почему ?

Я предложу решить эту задачку. Тогда сам поймёшь что где и как использовать.

Опять ты со своей параноей
Я не могу понять, кто тебя так напугал, что ты переворачиваешь все с ног на голову. Вот давай по порядку разберемся.
1. Юзер заполняет форму. Данные отправляется на сервер. Они уже, в любом с лучае попадут в скрипт. В том виде, в котором их юзер написал.
2. Вот тут ты выставляешь кордон из htmlspecialchars и прочих преобразований. То есть в скрипте. Эти данные, хочешь ты или нет, все равно находятся в оперативной памяти.
3. Потом, успокоившись, что вроде как но пасаран, отправляешь их в базу. Увеличивая при этом её объём и затрудняя последующую с ней работу.

Теперь такой момент. Когда идет запрос, это тоже самое, как будто юзер посылает данные в скрипт. Только юзером теперь является MуSQL.
Ты со спокойной душой принимаешь их скриптом, надеясь на то, что все там в порядке.
А какая разница то? Если в базу попадет вредоносный код, не через твой кордон, а слева. Шелл кто нибудь закинет или тупо пароль троянчиком уведет, что тогда? Представь объём информации, который тебе предстоит перелопатить, дабы найти этого червя.
А так как ты выдаешь данные юзеру из базы в том виде, в котором они есть, то все мы становимся заложниками этой ситуации.

Охранять надо сам скрипт. И выдачу в первую очередь. От всех возможных посягательств, буде то данные из http либо от сервера баз данных.

Ты не просто усложнил себе жизнь, увеличив базу за счет разметки и обратных преобразований, но и никоем образом не улучшил этим безопасность.

Увеличение скорости выдачи за счет отсутствия фильтрации - очень слабый и подозрительный аргумент. Если это критичном в диапазоне, то есть куча других методов и механизмов, эфективных и безопасных, избежать накрутки трафика.

Но ни коем образом не хранить в базе венигрет из непонятно чего, что потом зачастую невозможно привести в божеский вид.

Весьма вероятно у тебя реализована дополнительная защита, но это же лишний головняк и усложнение. В сто раз проще использовать php при записи данных как трензитную структуру, просто переместить то что дал юзер в базу. А уже потом фильтровать и защищать исполняемые скрипты. Любыми методами. Тут все средства хороши. Боишься восклицательных знаков - да ради бога, можешь хоть вообще все символы заменить.

Я прошлый раз промолчал, но ты же советуешь это людям. Людям, которые крайне мало понимают в механизмах происходящего. По большому счету тем самым увеличивая количество потенциально уязвимых сайтов в сети.
Как страшно жить.

Вообще за безопасность надо платить.
Я собственно ничего не предлагаю, тебе разумеется виднее. Просто советовать этого не стОит, не правильно это.
Ведь совсем недостаточно думать о том, как защититься от взлома. Нужно думать и о том, на сколько сложно будет восстановить систему после плачевного поползновения. Вот по твоей схеме, если не дай Бог что то случится и во все файлы попадет что то страшное (а хуже когда не во все, а выборочно, чтоб не сразу чухнули), то вернуть им первозданный вид будет весьма проблематично. Бэкапы тут не помогут, потому что ты можешь заметить последствия атаки месяца через два-три, когда все бэкапы будут полны этим дерьмом. А если есть чистый текст в базе, восстановить из бэкапа - раз плюнуть.
Мне кажется более приемлимым способ дублирования с архивацией устаревших дампов. Архивы можно эпизодически снимать с сервера и хранить дома. Это не так сильно ударит по дисковому пространству, но зато обезопасит данные.
А они стоят гораздо дороже, чем эконмия на трафике.

Ребят не знаю что у вас - но я в форум-е другой вопрос задал - но очень много полезного узнал но в тоже время решил что очень мало...

В смысле я так ни... и не понял

Одно понял для себя что думаю есть смысл обрабатывать данные тока при выходе - ведь правда если чувак сможет закинуть через другую часть сайта код в БД в ту часть что не будет так экранировать - код воспроизводиться.

Тогда если я выше правильно понял смысол я вижу тока один.

ADDSLASHES
потом
STRIPSLASHES
и потом уже обрабатывать всякий там <script....> и т.д.
Хотя в чем может быть опасность кроме тэга <script> </SCRIPT> <?PHP ?>

Выполнение тэгов HTML-ea но и что тогда - на куждый текст делать неимоверный парсэр для спец символов кавычек и т.д. ? и все из за того что я хочу воспроизвестись все го то кусок кода лоя Ютуба ?



П.С. сегодня у нас праздник - или я не до пил - или не выпил достаточна !!!
П.С.2. Но с другой стороны для меня все что я написал выше ГЕМАРОЙ делать - 1 рас HTMLSPECIALCHARS потом можно делать декоде - и при этом в БД будет чистые данные !!!
С другой стороны я и не знаю что делать...
Вопрос - что мне делать с Ютубом то ? =)

Вот и я про то же. Если уж делать серьёзный движок, то нужно начинать с пректа. А когда перелатываешь то, что было сделано непродуманно и вылезают проблемы подобные твоим. С кучей места на сервере и сложными преобразованиями.

Я вот мало понимаю в сео, но мне почему то кажется, что сообщения двух-трехлетней давности мало влияют на индексацию и рейтинги. Но даже если и влияют, зачем держать их в общей куче, пусть бы хранились в файлах без возможности редактирования. Read only. А дамп рабочий можно держать на серваке за последние полгода к примеру. Или меньше даже. Остальной дома.

В крайнем случае возможен механизм возврата из архива по твоей же схеме обратных преобразований. Хотя по мне так лишнее это, тут частенько залетные хацкеры апают посты трехлетней давности с тайной надеждой сунуть какушку. Порядочных археологов практически нет.

Никакими гигабайтами там не пахнет, зато пахнет надежными и легко управляемыми бэкапами. Потому что всегда есть девственно чистый исходный материал, не изуродованный всякими эквивалентами и другими заменами.

Решай задачу, иначе ничего так и не поймешь.