Возможные дубликаты:
PHP: максимально чистый / безопасный функция
Какой лучший метод для очистки пользовательского ввода с помощью PHP?
Что я должен добавить к моей функции, чтобы быть уверенным, что каждая строка, которая ей передается, будет удобна для сервера? Я использую эту небольшую функцию для проверки входных данных, содержащих имена, адреса электронной почты и идентификаторы.
function checkInput($str) {
$str = @strip_tags($str);
$str = @stripslashes($str);
$str = mysql_real_escape_string($str);
return $str;
}
mysql_real_escape_string
только для данных, которые поступают в базу данных. И вы хотите вызыватьhtmlspecialchars
только для данных, которые отображаются. Так что волшебной пули нет (и быть не должно) ... - person ircmaxell   schedule 15.12.2010