Форум PHP

Ваше утверждение равно примерно этому - пару носков среди носков в ящике для носков искать удобнее, если в ящик добавить и портянки.

для таких вещей логичнее применять шаблонизатор. ведь выборка из бд это одно, а представление данных на страницах это другое. пусть лучше функции для работы с бд другими делами занимаются.
имхо

тем более мешает хранить настоящие теги там-же :)
но с другой стороны это мелочи по сравнению с хранением bb-тегов в таблицах.
htmlspecialchars() тихо курит в сторонке.

разве проще по 100 раз вычищать строки от хтмл кода при каждом выводе, нежели один раз вычистить да занести это в базу?

я думаю, что жертвование местом на жёстком диске - это куда лучше, чем жертвование производительностью. Ведь более быстро скрипт выполнится без лишних htmlspecialchars, чем с ними )

а вы попробуйте написать функцию выборки из бд, которая будет автоматом выполнять htmlspecialchars, если у нее не указан второй параметр false например, который говорит, что не нужно этого делать. тогда у вас любые данные по умолчанию будут обрабатываться о т xss

Еще один любитель мусора. А он вам нужен?

$_POST = array_map("htmlspecialchars", $_POST);

Если вы все таки хотите бороться за "чистоту" на своих страницах, то вырезать аккуратно лишнее из данных, это рег. выражения.

Понятно, огромное спасибо за овтеты. Буду знать.

Функция вырезающая теги только одна - strip_tags, но она не гарантирует полный успех. Применяйте htmlspecialchars() и все теги введенные пользователем будут несостоятельны, но при любом выводе в браузер, а не при помещении в базу.