Заявление об ограничении ответственности
Это не вопрос о том, следует ли экранировать ввод данных в базу данных. Это строго связано с техническими различиями между тремя функциями в названии.
В этом вопросе обсуждается разница между _ 1_ и _ 2_. Но на самом деле здесь не обсуждаются filter_var() и информация, которую я найденное в Google, было больше похоже на "Убедитесь, что вы избегаете ввода пользователя, прежде чем он будет отображен эхом!"
Мои вопросы:
- Почему
htmlspecialchars()иhtmlentities()обычно используются вместоfilter_var()? - Есть ли снижение производительности при использовании
filter_var()? filter_var()не так безопасен, как два других варианта?- Есть ли какая-либо другая причина НЕ использовать следующее для кодирования пользовательского ввода до
echod
filter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS);
false. Я не делаю этого, если это возможно с помощьюfilter_var. - person ryanve schedule 06.11.2012