Обработка формы и автозамена текста

0

1

ЛОР, а посоветуй как правильно записывать текст (пользовательский комментарий) в базу и как правильно его выводить.

Сейчас перед добавлением в базу делается небольшая обработка, а именно удаляются лишние ентеры:

$comment_text = $_POST['text'];
$comment_text = str_replace(["\r\n", "\n\r", "\r"], "\n", $comment_text);

Но больше оригинал текста не трогается и заносится в базу как есть. Только на выводе хтмл-странички делается обработка:

$comment_text = str_replace(['&', '<', '>', "\n"], ['&amp;', '&lt;', '&gt;', "<br>\n"], $comment_text);

ИМХО, в базе не нужно трогать текст вообще, с одной стороны — на выводе получаем гибкость в обработке текста, вдруг, захочется прикрутить смайлики, markdown, всё это будет обрабатываться каждый раз на выводе хтмл-странички.

С другой стороны, занося в базу обработанный текст — его обработали один раз и вполне себе экономим процессорное время потом, но какой ценой... Когда пользователь захочет отредактировать комментарий, придется текст снова восстанавливать, вырезая оттуда свои кривые тэги.

Правильно ли, что в базу следует заносить оригинальный текст как есть (убрав лишние ентеры за ненадобностью разве что), а обрабатывать уже только на выводе из БД? Или может ещё чего нехватает?

Ссылка

←	Ваши предпочтения относительно метода аутентификации

Пример идеального сайта с JS

→

Но больше оригинал текста не трогается и заносится в базу как есть.

То есть ты никак не заботишься об sql-инъекциях?

alozovskoy ★★★★★
(19.05.15 18:37:09 MSK)

Ответ на: комментарий от alozovskoy 19.05.15 18:37:09 MSK

Нет, я просто делаю prepare, а затем через bind заношу все данные как есть, нетронутыми...

$db->query('BEGIN TRANSACTION;');
$try = $db->prepare('INSERT INTO blog_comments (post_id, user_id, comment_text, comment_author_ip, comment_agent, is_approved) VALUES (:post_id, :user_id, :comment_text, :comment_author_ip, :comment_agent, :is_approved);');
if (isset($_SESSION)) {
  $try->bindValue(':user_id', $_SESSION['user_id']);
  $try->bindValue(':is_approved', NULL);
}
else {
  $try->bindValue(':user_id', NULL);
  $try->bindValue(':is_approved', '?');
}
$try->bindValue(':post_id', $post_id);
$try->bindValue(':comment_text', $comment_text);
$try->bindValue(':comment_author_ip', $_SERVER['REMOTE_ADDR']);
$try->bindValue(':comment_agent', $_SERVER['HTTP_USER_AGENT']);
$try->execute();
$db->query('UPDATE blog_posts SET post_count_comments = post_count_comments + 1 WHERE post_id = '.$post_id.';');
$db->query('COMMIT;');

~~Spoofing~~ ★★★★★
(19.05.15 18:40:37 MSK) автор топика

Ссылка

str_replace(['&', '<', '>', «\n»], ['&', '<', '>', «<br>\n»], $comment_text);

http://php.net/htmlspecialchars

~~KRoN73~~ ★★★★★
(19.05.15 18:43:49 MSK)

Ссылка

Правильно ли, что в базу следует заносить оригинальный текст как есть

Да. Во всех вменяемых ЦМС так делается.

занося в базу обработанный текст — его обработали один раз и вполне себе экономим процессорное время

По сравнению с общими затратами это экономия на спичках. Ты же не экономишь спички? Не надо отвечать :) Если хочешь поиграться в хайлоад лучше сделай кеширование в nginx.

goingUp ★★★★★
(19.05.15 18:50:42 MSK)

Ссылка

Заноси как есть, отдавай как есть, markdown рендерь на клиенте js-ом.

anonymous
(20.05.15 03:58:39 MSK)

Ссылка

С другой стороны, занося в базу обработанный текст — его обработали один раз и вполне себе экономим процессорное время потом, но какой ценой... Когда пользователь захочет отредактировать комментарий, придется текст снова восстанавливать, вырезая оттуда свои кривые тэги.

Прикрути на сервере кэш.

~~h578b1bde~~ ★☆
(20.05.15 06:40:46 MSK)