Определение, когда или когда не экранировать выход

Question

У меня есть страница, где у меня есть приблизительно 90 элементов, которые мне нужно вывести. Большинство из них являются свойствами объекта (я использую ORM, поэтому эти объекты отображаются в моей таблице базы данных). Но вопрос в том, должен ли я кодировать каждый из этих 90 выходов, применяя функции к каждому (в моем случае, htmlspecialchars)? Не добавит ли это немного издержек (вызов одной функции 90 раз)?

РЕДАКТИРОВАТЬ: Термин "выходное кодирование" ... хе-хе

Answer 1

В какой-то момент кто-то введет данные, которые могут испортить вашу HTML-страницу. Они могут сделать это случайно (название компании содержит «>») или намеренно (см. XSS ).

Итак, да, всегда правильно кодировать вывод.