[mmwebstudio]

Skall koda (är halvvägs nu) en community där det som vanligt finns gästbok och även ett internt mail-system. Den text som folk skriver - hur skall man spara den i en mySQL-databas? Använder man texten direkt in i ett SQL-kommando kan tecken i texten ställa till med bekymmer (exempelvis sitationstecken). Man vill ju också ha kvar radbrytningar så som använder skriver in den i textrutan.

Hur ska man lösa detta? Formatera texten innan man sparar den i databasen? Och hur kodar man i så fall tillbaks den när man skall presentera den?

BTW: Jag kodar i ASP...

[Jonas]

Det är upp till dig helt och hållet.
Du uppnår bättre prestanda i längden om texten är förformaterad innan du spottar in den i databasen, men det kan bli problematiskt längre fram då du vill formatera den annorlunda.

[Onkelborg]

Ett förslag är att spara både och (i olika tabeller), en förformaterad kopia och ett original. Kopian kan skapas när den behövs, som någon form av cache. På så sätt har man prestandan av att inte behöva formatera någonting runtime, men har kvar originalet.

Ang. hur man stoppar in sakerna i databasen: Man använder parametrar, parameteriserade frågor stödjer väl alla språk vid det här laget, och är gissningsvis ett utav de enklaste sätten att höja säkerheten på. Ingen formatering, inga replace, inget strul. Snyggt och fint. Säkert.

[mbomelin]

Om du använder dig av PHP så kolla upp funktionen mysql_real_escape_string.
Funktionen preparerar din text så att den kan användas direkt i en sql query, utan att några "konstiga tecken" kraschar queryn. Funktionen ser också till att din site inte kan "hackas" via s.k. sql injections.

[Björn]

tips.. använd tinymce, och som ovan sa medphp, escape_string... kolla även på addslashes() funktionen.

[Onkelborg]

http://www.microsoft.com/mind/0897/ado.asp
http://authors.aspalliance.com/steve...les/sprocs.asp