Вопрос безопасности - обработка RAW данных

[bzzik]

Добрый день уважаемые.

Хотелось бы уточнить у разработчиков расширений, каким образом они обрабатывают RAW input/output данные?

В силу специфики разрабатываемого расширения есть необходимость предоставить пользователю вводить данные, которые должны поступать на сервер и сохранятся в базе, и далее выводится именно в том виде, в каком они были введены. Я подозреваю, что тут недостаточно использования только quote() метода?

Прошу прощения за невежество в таком вроде бы не очень сложном вопросе, но ранее не сталкивался с такой ситуацией, а мой опыт работы с PHP недостаточен, чтобы самому разобраться как правильно поступить.

Спасибо за внимание  

[SmokerMan]

Хотелось бы уточнить у разработчиков расширений, каким образом они обрабатывают RAW input/output данные?

никакими.
как сам их обработаешь так и будет. Хоть методами Joomla типа getInt(), getString() и т.п., хоть своими.

[bzzik]

никакими.
как сам их обработаешь так и будет. Хоть методами Joomla типа getInt(), getString() и т.п., хоть своими.

Да не, мне нужны именно RAW данные. Предположим, что я их получаю вот так:

Код:

JRequest::getVar('mywar', '', 'post', 'string', JREQUEST_ALLOWRAW);

Пример:

Пользователь заполняет анкету и вводит предположим rawdata. Отправляет форму, а я получаю эту rawdata как JRequest::getVar('rawdata', '', 'post', 'string', JREQUEST_ALLOWRAW);
Далее мне эту rawdata неоходимо вывести в анкете в таком же виде, как она была введена пользователем.


Как правильно и безопасно сделать обработку и положить rawdata в базу, и потом вывести?

[SmokerMan]

а я не то понял.
Ну не понятно зачем в анкете делать полный доступ, можно же отфильтровать через фильтры. HTML теги просто оставить и т.п.
Фильтровать по любому желательно, т.к. мало ли чего туда всунут.

А так перед отправкой в БД их конечно ескепировать, что-то типа $db->quote( $db->getEscaped( $string ), false ); 
Ну и для вывода можно использовать что-то типа htmlspecialchars или опять же использовать escape класса JView

[bzzik]

а я не то понял.
Ну не понятно зачем в анкете делать полный доступ, можно же отфильтровать через фильтры. HTML теги просто оставить и т.п.
Фильтровать по любому желательно, т.к. мало ли чего туда всунут.

Нужен полный доступ...

А так перед отправкой в БД их конечно ескепировать, что-то типа $db->quote( $db->getEscaped( $string ), false ); 
Ну и для вывода можно использовать что-то типа htmlspecialchars или опять же использовать escape класса JView

Я вот только не совсем понял про работу htmlspecialchars. Например, если перед отправкой в базу вот такой переменной
$var = <a href='test'>Test</a>, я применю htmlspecialchars, запись в базе уже будет в формате &lt;a href='test'&gt;Test&lt;/a&gt; ?

Просто у себя пробовал, в базу все равно пишется как <a href='test'>Test</a>

[lcd25]

Код

    function Quote( $text, $escaped = true )
 
    {
 
        return '\''.($escaped ? $this->getEscaped( $text ) : $text).'\'';
 
    }

Какой смысл в конструкции
$db->quote( $db->getEscaped( $string ), false );
?

[bzzik]

По моему никакого =)