いくつかの理由でそれは悪い考えです:
- まず、入力は常にデータベースとデータベースのみに入力されることを前提としています。HTML出力で何かが使用される場合はどうなりますか?またはメールで?ファイルに書き込まれますか?または他の多くのもの..フィルタリングは常にコンテキスト依存である必要があります。
-
さらに重要なのは、GET、POSTなどがフィルタリングされたという兆候がないため、それらの使用をお勧めします。誰かがあなたの使用を見たら
echo $ _POST ['name'];
ページ上で、フィルタリングされていることをどのようにして知ることができますか?またはさらに悪いことに...あなたはそれがあったと確信していますか?他のアプリはどうですか?あなたが知っている、あなたがちょうど手渡されたもの?新しい開発者は何をしますか?フィルタリングが重要であることさえ知っているでしょうか?