Jag undrar om någon kan hjälpa mig tydliggöra en sak som jag inte helt har greppat om htmlentities() och databaser.
Om en användare vill göra något som ändrar databasen, t ex skapa konto eller ändra ett befintligt, behöver man då använda sig av htmlentities() eller är det inte aktuellt då det ska in i databasen och då så håller det med att göra en “prepared sql förfrågan”.
Sen om man ska skriva ut det användaren har lagt in i databasen igen på sin sida (t ex visa profilsida med data), behöver man då använda sig av htmlentities() när det skrivs ut sedan det är inputs från användares som kan visas på sidan? Eller har “in- och uthämtandet” från databasen gjort det överflödigt?
Prepared statement skyddar själva SQL-frågan så att användaren inte kan injecta potentiellt farliga saker som tex modifierar SQL-frågan till att radera hela tabellen.
Prepared statement skyddar själva SQL-frågan så att användaren inte kan injecta potentiellt farliga saker som tex modifierar SQL-frågan till att radera hela tabellen.
htmlentitites() skyddar webbsidan så att användaren inte kan injecta farlig kod in till webbsidan
När vi låter användaren fylla i ett formulär, som sparas i databasen, och sedan visas formulärets data i webbsidan så kan vi tänka så här.