Форум PHP

Ура! Я доволен как дитя!!!!
Второй вариант работает!

Спасиб neadekvat за терпение к моему незнанию)

Попробуйте добавить в бд следующий текст, используя mysql_real_escape_string

Это текст с переносами.

А потом выведите его на экран (прежде достав из бд, конечно же), используя htmlspecialchars, и посмотрите исходный html код страницы.
Потом для интереса выведите на страницу этот же текст, но иначе: nl2br(htmlspecialchars());

neadekvat - я не знал, что htmlspecialchars не съедает переносы... так откуда же они могут пропадать... от mysql_real_escape_string что ли?

В базу свою вы можете помещать все что душа пожелает, даже "страшный" JavaScript. Если вы хотите, чтобы он исполнялся у клиента, то выводите как есть, а нет, значит пропускаете через htmlspecialchars. При выводе используйте эту функцию, а не при записи, меньше лишних хлопот будет.

mysql_real_escape_string перед тем, как записать в базу данных.
htmlspecialchars перед тем, как вывести в браузер.
Это в общем случаи.
А еще лучше - посмотрите на задачу 21 (и на ее решения в разделе задач).

> htmlspecialchars лучше использовать непосредственно перед выводом в поток, а не перед записью, чтобы данные хранились в первоначальном виде.

И вы не ответили, как узнали, что переносов строк нет. Просто потому, что вы применяете htmlspecialchars? Так он не трогает переносы строк.

Да, я знаю, но какие функции безопасности тогда лучше использовать?

Да, я узнал, потому как использую фильтры пере записью в БД. Думаю так и нужно. Или я не прав?

Даже если вы поместите <br> в textarea, первод строки вы не получите в ней, нет для нее HTML, для нее все текст.

Как вы узнали, что что-то теряется?

К тому же, htmlspecialchars лучше использовать непосредственно перед выводом в поток, а не перед записью, чтобы данные хранились в первоначальном виде.