Controllo sui dati inseriti in un form

Ciao a tutti,

Per evitare che vengano inviati tramite form degli script, o meglio, per evitare che gli script vengano eseguiti, e' sufficiente htmlenties()?

Inoltre, se devo fare in modo che il testo inserito in un from possa essere modificato, mi conviene convertire i caratteri in fase di lettura dal DB o prima di caricarli nel DB?

Grazie.

[alemoppo]

Per evitare che vengano inviati tramite form degli script, o meglio, per evitare che gli script vengano eseguiti, e' sufficiente htmlenties()?

Sì

Inoltre, se devo fare in modo che il testo inserito in un from possa essere modificato,

Non ho capito cosa centra con la domanda subito dopo

mi conviene convertire i caratteri in fase di lettura dal DB o prima di caricarli nel DB?

Secondo me conviene in fase di lettura.

In ogni caso, leggendo i dati dal database, la htmlentities() non fa effettuare attacchi xss, ma prima devi proteggerti dalle sql injiection: devi "filtrare" tutti i dati provenienti dal form con la mysqli_real_escape_string() (se usi mysqli).

Ciao!

Sì

Non ho capito cosa centra con la domanda subito dopo


Secondo me conviene in fase di lettura.

In ogni caso, leggendo i dati dal database, la htmlentities() non fa effettuare attacchi xss, ma prima devi proteggerti dalle sql injiection: devi "filtrare" tutti i dati provenienti dal form con la mysqli_real_escape_string() (se usi mysqli).

Ciao!

Ok, grazie mille.

Non ho capito cosa centra con la domanda subito dopo

Se un campo deve essere modificato, e' meglio che nel database ci sia il messaggio gia' convertito oppure il messaggio originale?


Invece la mysqli_real_escape_string() va usata prima dell'inserimento dei dati nel DB?


EDIT

Come posso usare mysqli_real_escape_string ? cioe', e' necessario aver fatto la connessione al DB tramite mysqli, o bisogna abilitare qualcosa oppure si puo' usare anche se per ora ho usato solo mySQL normale?
Grazie ancora, ciao!