cadenas de formato php

Buenas!

Tengo una pregunta técnica:

A la hora de mostrar un texto por pantalla, se puede hacer de varias maneras (echo, print...)

Yo suelo usar echo, pero se que también se pueden usar cadenas de formato, por ejemplo usando printf.

Mi pregunta es:

¿A la hora de usar cadenas con variables, es más seguro usar una cadena de formato o concatenarlas con echo?

Es decir, es más seguro (a) o (b)


Gracias

A qué te refieres con "más seguro"?

printf y sus "parientes" son funciones de formato, no de seguridad. Para evitar ataques, lo mejor es sanear todos los datos manipulables desde que los recibes ($_GET, $_POST, $_COOKIE, etc.) y no al mostrarlos en pantalla.

Buenas,
de entrada siempre "saneo" los GET y los POST. A lo que me refiero con seguridad es la mayor o menor posibilidad de hacer un "exploit" sobre una cadena de formato.

Para que veas un ejemplo, en un código C (digo C porque es lo más parecido que encuentro a php y de C tengo más conocimientos de cadenas de formato), si tu escribes algo así

y no

existen posibilidades de explotar la cadena insertando valores HEX, para así, por ejemplo, sobreescribir cierta dirección de memoria y hacer que el programa haga algo totalmente diferente.

Pues bien, no se a ciencia cierta si usando "echo" en PHP se corre el mismo riesgo. En caso de haberlo sería cuestión de cambiar todo a cadenas de formato, pero quiero informarme de antemano ya que, como pasa siempre, no son pocos los datos que se muestran por pantalla, y estar una infinidad de horas cambiando "echo" a "printf" de manera innecesaria (en caso que no sea "inseguro") sería algo que me gustaría ahorrarme, jejeje

Gracias por contestar

Tengo que insistir en que es mejor limpiar los datos desde la entrada, busca el aporte de GatorV para evitar ataques XSS, aplícalo a GET, POST, etc. y despreocúpate de problemas al mostrar datos, usando lo que te parezca más cómodo, legible u óptimo.