Hola buena tarde.
Tengo una duda con respecto a la seguridad.
Uso htmlentities y mysqli_real_escape_string para sanitizar datos a la DB, sin embargo necesito mostrar esos mismos datos pero ahora las ñ y los acentos los coloca literalmente. Intenté de todo, pero lo funcional fue colocar html_entity_decode, es decir, lo inverso a htmlentities y efectivamente muestra correctamente los datos.
Entonces, si alguien coloca una inyección (por ejemplo
Código HTML:
<script type="text/javascript">alert('ejemplo');</script> ) cuando se almacena se escribe como sus respectivas entidades así que no hay problema, sin embargo,
¿si uso html_entity_decode ejecutará el script malicioso?