mysql_real_escape_string()
を使用します 入力がどこから来たかに関係なく、SQLクエリに文字列を挿入するとき。
htmlspecialchars()
を使用する またはhtmlentities()
入力元に関係なく、HTMLコードに文字列を挿入する場合。
urlencode()
を使用する 値がどこから来たかに関係なく、URLのクエリ文字列に値を挿入するとき。
このデータがユーザーからのものである場合、ユーザーが悪いことをしようとしている可能性があるため、これらのことを確実に行う必要があります。しかし、セキュリティはさておき、正当な文字列をSQLクエリに挿入したいが、その文字列にたまたま一重引用符が含まれている場合はどうでしょうか。あなたはまだそれを逃れる必要があります。