Заявление об ограничении ответственности
Это не вопрос о том, следует ли экранировать ввод данных в базу данных. Это строго связано с техническими различиями между тремя функциями в названии.
В этом вопросе обсуждается разница между _ 1_ и _ 2_. Но на самом деле здесь не обсуждаются filter_var()
и информация, которую я найденное в Google, было больше похоже на "Убедитесь, что вы избегаете ввода пользователя, прежде чем он будет отображен эхом!"
Мои вопросы:
- Почему
htmlspecialchars()
иhtmlentities()
обычно используются вместоfilter_var()
? - Есть ли снижение производительности при использовании
filter_var()
? filter_var()
не так безопасен, как два других варианта?- Есть ли какая-либо другая причина НЕ использовать следующее для кодирования пользовательского ввода до
echod
filter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS);
false
. Я не делаю этого, если это возможно с помощьюfilter_var
. - person ryanve   schedule 06.11.2012