Я знаю, как защититься от SQL-инъекций и прочее и проверить ввод пользователя... но мне было интересно, берете ли вы данные из поля ввода пользователя, и данные представляют собой строку, насколько безопасно использовать эти данные внутри вашего кода для такие вещи, как:
if ($i == $_POST['userinput']) {
....
}
Вышеприведенное — всего лишь пример попытки ответить на мой вопрос о том, какие шаги вам нужно предпринять и при каких обстоятельствах.
Очевидно, что в приведенном выше примере это не сработает, но я просто пытаюсь помешать людям делать что-то вроде include('whatever.php'); и т.п.