$_GET mit htmlspecialchars trotz PDO?

Cc_Cc_Cc · 02/23/2018, 16:18

Tag,

hab eine Suchfunktion wenn ich eine Person finden möchte.

Sollte man trotzdem noch htmlspecialchars anwenden oder kann man das so lassen? Höre immer das man unbedingt htmlspecialchars nutzen soll, aber da ich PDO anwende brauch ich es doch nicht oder doch?

type. · 02/23/2018, 16:24

Das hier ist eigentlich eine sehr schlüssige Erklärung zum Thema und Antwort auf die Frage:

^—^
Ich spare mir also mal jeden weiteren Kommentar.

Kurzantwort: Ich würde sagen, dass es nicht notwendig ist. Hat jemand Einsprüche?

Devsome · 02/23/2018, 16:33

Nimm lieber ein Post Request anstatt mit GET zu arbeiten.

Cc_Cc_Cc · 02/23/2018, 17:23

Quote:

Originally Posted by Devsome

Nimm lieber ein Post Request anstatt mit GET zu arbeiten.

Der nachteil mit POST ist immer das, wenn ich wieder auf die Taste zurück gehe im Browser, immer ein "Erneute Formular-Übermittlung bestätigen" kommt. Das ist sehr nervig für die User.

Oder kann man das umgehen?

florian0 · 02/23/2018, 18:14

PDO/Prepared Statements beschützen dich vor SQL Injections.
htmlspecialchars beschützt dich vor XSS.

Zwei verschiedene Sachen. Ob GET oder POST hat damit überhauptreingarnichts zu tun.

Devsome · 02/23/2018, 18:38

Quote:

Originally Posted by Cc_Cc_Cc

Der nachteil mit POST ist immer das, wenn ich wieder auf die Taste zurück gehe im Browser, immer ein "Erneute Formular-Übermittlung bestätigen" kommt. Das ist sehr nervig für die User.

Oder kann man das umgehen?

Ja kann man.