Ребята, по поводу затрат на экранирование/деэкранирование я согласен с вами обоими. Не сритесь. Вот и очередной холивар, но это очень хорошо. В сраче проявляется истина)))
По сути на мелких данных (выборка 20-50 записей из БД и экранирование их при выводе) - это семечки. Но я сталкивался с тем, что при выборке огромных данных из БД для формирования Excel файлов мне надо было деэкранировать их в обратную сторону (они были экранированы в БД). И вот эта мелочь вроде - занимала часть ОЗУ, которая вешала сервер и не давала создать файл. Убрал деэкранирование - файл формировался норм, но с HTML сущностями, которые в нем нафиг не тарахтели. Было и такое.
Добавлено через 03:07 сек.
erasier, safe_int() спасибо, от души поржал над комментами
Добавлено через 09:02 сек.
Вообще, разрешать юзерам постить хтмл - это бред какой-то, bb-кодов мало чтоли? Юзерам.
Так никто и не разрешает постить HTML))
Вопрос: любой код или текст сразу писать в БД "вживую", а при выводе экранировать его, или, как по старинке, экранировать сразу в БД, а на страницу выводить "как есть".
Конечно, я тоже сталкивался с автоудалением из поисковых запросов фраз select, update и пр. Это, конечно, ересь.
Это как сидеть в чугунном бункере с зонтиком.