در هنگام نمایش اطلاعات از htmlspecialchars استفاده کنم یا در همان ابتدای صفحه از آن استفاده کنم؟
سلام. فرض کنید یه فرم ثبت نام در سایت داریم که action این فرم به همین صفحه است. و مقادیر نام کاربری و رمز و .. را از $_POST می گیریم.
$user_name = isset($_POST['username'])? $_POST['username'] : '';
اگر ولید بودند در database ذخیره شوند و ریداریکت شود و اگر ولید نبود فرم هنوز نمایش داده می شود. که مثلا فیلد نام کاربری با value که ارسال کرده پر می شود.
<input type="text" name="username" id="username" value="<?=$user_name?>" />
حالا سوالم اینه که همان ابتدای صفحه, هنگام دریافت از post و ریختن نام کاربری در متغییر $user_name, تابع htmlspecialchars را بر آن اعمال کنم؟ (با توجه به اینکه اگر این متغغیر صحیح است توسط تابع mysql_real_escape چک و در database درج شود.) یا هنگام نمایش ابن تابع را اعمال کنم؟ یعنی:
$user_name = isset($_POST['username'])? htmlspecialchars($_POST['username']) : '';
بنویسم یا بدون htmlspecialchars دریافت کنم و در نمایش:
<input type="text" name="username" id="username" value="<?=htmlspecialchars($user_name);?>" />
پاسخ با نقل قول
نوشته شده توسط masoud_tamizy
