Formularwerte mit htmlspecialchars in DB schreiben

Hi,

nach dem abschicken eines Formulars werden alle Daten nochmals angezeigt. Dazu verwende ich dann

PHP-Code:

$name = htmlspecialchars($_POST['name']); 


Beim Eintragen dann:

PHP-Code:

$query = "INSERT INTO table SET name = '".mysql_real_escape_string($name)."'" 


Sollte man nun auf $name die Funktion htmlspecialchars anwenden und die Werte so in die DB schreiben oder erst bei der Ausgabe der Daten, also htmlspecialchars($row['name'])

Im Netz finde ich es mal so und mal so... also nix eindeutiges.

zweiteres.

ok danke...

ich hab hier nämlich auch so nen schlaues buch :-), da steht sowas drin:

PHP-Code:

<input type="hidden" name="name" value="<?php echo htmlspecialchars($_POST['name'])?>"

und dann wird $_POST['name'] in die DB geschrieben, hier bekomme ich ja auch gar nicht mehr nur den reinen Wert.

wie kommt man denn nun wieder auf den wert ohne htmlspecialchars?

oder habe ich in der DB auch wieder nur ein & stehen wenn im value ein & amp; steht?

Zitat:

da steht sowas drin:

Und das ist ja auch gut so!!

Es ist eine Ausgabe in ein Formular und damit ist der gebrauch von htmlspecialchars() durchaus angemessen.

Das hat aber nix mit irgendeiner DB zu tun. Das Formular liefert "bereinigte" Daten.

ach ok, jetzt hab ichs geschnallt...

ich dachte das formular liefert mir dann als value auch die entsprechende html darstellung..also & amp anstatt &, aber dem is ja nicht so.