Attachi xss

[marco_rx]

Ciao avrei una cosa da chiedere: per evitare attacchi di tipo XSS (mi sembra si chiamino così) conviene convertire i caratteri nelle entità html durante la memorizzazione nel database oppure memorizzarli normali e convertirli durante la scrittura della pagina?
Scusate se può sembrarvi una domanda stupida, ma ho letto diverse cose su questo argomento e non so quale sia la miglior cosa

 

[alessandro1997]

Io solitamente li converto prima di inserirli nel database, comunque penso che sia indifferente.

 

[Eliox]

Converti prima di inserire, così sei sicuro che tutto quello che entra nel db sara bonificato.

 

[marco_rx]

Ah ok grazie
Avrei un altra domanda o per meglio dire dubbio:
quando si deve verificare il contenuto di $_POST o $_GET occorre necessariamente (o comunque è preferibile) usare isset() oppure è indifferente? per esempio tra

(isset($_POST)) ? mostra() : elabora();

e

($_POST) ? mostra() : elabora();

cambia qualcosa? perchè in molti script che ho visto a volte veniva usato e altre no (con $_GET quasi sempre mentre con $_POST spesso no)

 

[Eliox]

Usalo, in questo modo sarai sicuro che la pagina abbia ricevuto l'input richiesto; è anche una questione di sicurezza, se la pagina non riceve i dati da elaborare l'accesso non deve essere permesso.