我们是否应该在将特殊字符存储到数据库之前对其进行 HTML 编码？

Question

我使用MySQL来存储数据，我的网页全部编码为UTF-8。我有很多葡萄牙语字符，例如 ç 和 õ，我想知道是否应该在存储之前对它们进行 HTML 转义。

例如，我们应该将 & 存储为 & 吗？为什么（不）？有哪些优点和缺点/最佳实践？

Answer 1

存储之前不要对字符进行 HTML 编码。您应该存储尽可能纯粹的数据形式。需要 HTML 编码，因为您要在 HTML 页面上显示数据，因此在处理数据以创建页面期间需要进行编码。例如，假设您决定还要通过纯文本电子邮件发送数据。如果您已经对数据进行了 HTML 编码，那么现在 HTML 编码就成了您必须消除的障碍。

为您的数据选择一种规范形式并存储它。 UTF-8 非常棒，并且您的数据库支持它（假设您已正确创建所有表）。只存储UTF-8。

Answer 2

根据数据库的目的，不建议使用 HTML 编码和存储数据。这样做将使数据仅适合在 HTML 页面上呈现（唯一目的），而对于所有其他操作（许多），您需要再次解码。这降低了数据库的数据一致性（因为有效性、准确性、可用性受到阻碍）。

Answer 3

您是否需要寻找它们？我不是 MySQL 专家，但您可能需要费尽周折才能进行搜索。

您是否关心数据的 HTML 性质或字符编码？

我想说，如果可以避免的话，尽量不要在数据库中对字符进行任何特殊编码。搜索，必须记住特殊的入站/出站处理等。

Answer 4

我不会将其编码到数据库中，除非有明确且明确的价值。您（以及任何使用该数据的其他人）必须记住在使用该数据时取消转义，或者转义您插入、更新或与该字段进行比较的任何数据。我不确定逃避它有什么好处，但这可能不值得。

Answer 5

如果您每次写入都要进行 100 或 1000 个页面演示，那么在写入过程中进行编码将会更加高效。但在大多数情况下，我认为差异可以忽略不计。

但毫无疑问，其他原因（不编码）也很好——而且无论如何，对 UTF-8 喜欢的字符进行编码是没有意义的。

Answer 6

我认为在进入数据库的过程中进行编码实际上是一种安全风险，因为这意味着您可能不会在数据库和浏览器之间进行编码（因为这会导致双重编码）。这意味着，如果现在或将来有一条路线让未编码的数据进入您的数据库，那么该数据将以未编码的方式发送到浏览器。最好在数据库和浏览器之间进行编码，因此存储未编码的恕我直言。