サニタイジングとは言わないけど

困った困った。

まぁ、基本的に無知なのがいけないんだけどさ。

誰もいなかったから僕がやったっていう発端もどうかって話だけどさ。
それなりにPGできるから、かえっていけなかったね。
たいして知りもしないで、作るものではないってことで。
知ってる人がほとんどいないって時点で、救いの手はどこに求めたらいいのか判らないという…


ユーザの入力に対して、チェックを入れたりするんだけど、これがどーもよく判らなくて。
最初に参考にした本が、SQLにINSERTするための処理として、htmlspecialchars()とmysql_real_escape_string()をかましてたもんだから、そういうもんかと思って…

結局htmlsp(ry は表示の前にやるのがいいというのは、納得できた。
たしかにDBには生のデータ（実際にはエスケープされてるけど）を入れるべきだろうな。

入力
↓
確認表示（表示用にhtmlspecialchars()を入れるけど、実際のデータはそのまま）
↓
登録（INSERTする段階でエスケープ）

リクエスト
↓
表示（DBから引っ張ってきたエスケープ済みの内容をhtmlspcialchars()で表示）

こういうこと？