farhadfery
شنبه 06 اسفند 1390, 13:48 عصر
سلام. فرض کنید یه فرم ثبت نام در سایت داریم که action این فرم به همین صفحه است. و مقادیر نام کاربری و رمز و .. را از $_POST می گیریم.
$user_name = isset($_POST['username'])? $_POST['username'] : '';
اگر ولید بودند در database ذخیره شوند و ریداریکت شود و اگر ولید نبود فرم هنوز نمایش داده می شود. که مثلا فیلد نام کاربری با value که ارسال کرده پر می شود.
<input type="text" name="username" id="username" value="<?=$user_name?>" />
حالا سوالم اینه که همان ابتدای صفحه, هنگام دریافت از post و ریختن نام کاربری در متغییر $user_name, تابع htmlspecialchars را بر آن اعمال کنم؟ (با توجه به اینکه اگر این متغغیر صحیح است توسط تابع mysql_real_escape چک و در database درج شود.) یا هنگام نمایش ابن تابع را اعمال کنم؟ یعنی:
$user_name = isset($_POST['username'])? htmlspecialchars($_POST['username']) : '';
بنویسم یا بدون htmlspecialchars دریافت کنم و در نمایش:
<input type="text" name="username" id="username" value="<?=htmlspecialchars($user_name);?>" />
$user_name = isset($_POST['username'])? $_POST['username'] : '';
اگر ولید بودند در database ذخیره شوند و ریداریکت شود و اگر ولید نبود فرم هنوز نمایش داده می شود. که مثلا فیلد نام کاربری با value که ارسال کرده پر می شود.
<input type="text" name="username" id="username" value="<?=$user_name?>" />
حالا سوالم اینه که همان ابتدای صفحه, هنگام دریافت از post و ریختن نام کاربری در متغییر $user_name, تابع htmlspecialchars را بر آن اعمال کنم؟ (با توجه به اینکه اگر این متغغیر صحیح است توسط تابع mysql_real_escape چک و در database درج شود.) یا هنگام نمایش ابن تابع را اعمال کنم؟ یعنی:
$user_name = isset($_POST['username'])? htmlspecialchars($_POST['username']) : '';
بنویسم یا بدون htmlspecialchars دریافت کنم و در نمایش:
<input type="text" name="username" id="username" value="<?=htmlspecialchars($user_name);?>" />