Фильтрация

21. ZiGR, mysqli_real_escape_string() и htmlspecialchars() разве не справятся с нулл байтом, байтом разворота?

22. eGo Работает на Себя, на сколько я помню в роторе функция check прям в первой строке содержит хтмлспециалчарс.
Я так же помню, что байт разворота в нем работал одно время.
Видимо хтмлспециалчарс не удаляет его

20. ramzes, падение в скорости не существенное, зато с подготовленными выражениями можно не бояться sql inj и спать спокойно. А если запрос в цикле будет, так скорее mysql_real_escape_string будет больше занимать процессорного времени, чем подготовленное выражение, которое кешируется в ОЗУ.
Но это уже личное дело каждого, можно ведь вместо mysql_real_escape_string написать свой велосипед)

25. Жадный лепрекон, а если запрос в цикле, то вероятнее всего организация паршивая))
Тем не менее, разница в скорости есть.
Предпочитаю фильтровать до записи.
И париться с иньекциями не надо, и главное, обрабатывать каждый раз на выводе не надо

26. ramzes, я не вижу критической разницы в скорости выполнения, но удобство на лицо. Сразу видно какой где тип, не нужно каждую строку обрабатывать mysql_real_escape_string и т.д.

27. Жадный лепрекон,
100 человек читают страницу со 100 записями. Это уже 10000 вызовов фильтра

28. ramzes, а почему 10000? вроде всего 100 будет.

$sql = $mysqli->prepare("SELECT * FROM `tbl` WHERE `id`=? ;");
$sql->bind_param("i",$id);
$sql->execute();
$sql->bind_result($text);
while($sql->fetch()) {
	echo $text;
}
$sql->close();

29. Жадный лепрекон, ты о чем вообще?
На выводе у тебя если фильтр будет стоять, то 100 вызовов на рыло, 100 человек (или просто запросов) вызовут 100*100 = 10000 в примерно один момент.
А это уже куда больше чем ноль

30. ramzes, 100 запросов на страницу? о_О
даже в вордпресе такого количества запросов на страницу нету

31. Жадный лепрекон, да при чем тут запросы?
100 записей, я же сказал, 100 вызовов фильтра, а не 100 обращений к бд