Добрый вечер!
Подскажите, правильно ли фильтровать данные функцией
$text=$mysqli->real_escape_string(htmlspecialchars(trim($_POST['text'])));

до занесения в базу, а при выводе ничем не фильтровать?

Как по мне лучше один раз отфильтровать данные до занесения в базу,
чтобы там всякий мусор не хранить, чем потом при выводе каждый раз фильтровать их..
Или это неправильный способ? Может быть уязвимость?

...

а как ты будешь редактировать данные? А как мониторить их? Отслеживать?

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

В смысле дерактировать и мониторить данные?

text text text. Обрати внимание на второе слово, оно неожиданно стало жирным. Аналогично с остальными данными.
Вдруг когда-нибудь тебе надо будет выводить в чистом виде? А когда-нибудь найти ссылки? &lt;a&rt; так будешь искать? Мне проще было бы вбить в поиск: <a>, так как это более очевидные.

К тому же ты не добьешься значительного роста производительности от такого рода махинаций, эти процессы достаточно быстрые, нет смысла экономить на спичках. Когда начнёт сайт падать или станет нагрузка критической, ты последним делом посмотришь на htmlspecialchars.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Тоесть как бы ты посоветовал делать?

искажать данные на выводе. То есть на вводе только mysqli_real_escape_string , иногда trim, где надо!

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

хм, может ты и прав, не знаю даже как лучше сделать

Изучай.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

twin, в статье говорится что перед занесением в базу данных не нужно использовать htmlspecialchars, а только на выводе

Я знаю что там говорится. Я же её писал))

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

twin, а чем плохой мой вариант..?

twin, хорошая статья.. а чем плохой мой вариант?

Там все написано. Читай внимательно.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

я и так два раза прочитал, просто интересует твое мнение )