それは一般的すぎると思います。 かもしれません 多くの用途に安全ですが、ストリングに望ましくない副作用を与えることがよくあります。すべての文字列をそのようにエスケープする必要はありません。
-
mysql_real_escape_string()
SQLクエリ内でのみ使用する必要があります。さらに良いことに、パラメータをPDOにバインドします。 - データベースに挿入する前に、ストリップタグを包括し、エンティティをエンコードする必要があるのはなぜですか?たぶん、途中でそれをします。
- XSS防止のために、
htmlspecialchars()
もっとあなたの友達です。引数として文字セットを指定します。
したがって、mysql_real_escape_string()
を使用します クエリの場合、およびhtmlspecialchars()
ユーザーが送信した文字列をエコーするため。知っておくべきこともたくさんあります。 さらに読む
。