Verwenden Sie mysql_real_escape_string()
beim Einfügen von Strings in SQL-Abfragen, egal woher die Eingabe kommt.
Verwenden Sie htmlspecialchars()
oder htmlentities()
beim Einfügen von Strings in HTML-Code, egal woher die Eingabe kommt.
Verwenden Sie urlencode()
beim Einfügen von Werten in den Abfragestring einer URL, egal woher die Werte kommen.
Wenn diese Daten vom Benutzer stammen, sollten Sie diese Dinge unbedingt tun, da die Möglichkeit besteht, dass der Benutzer versucht, schlechte Dinge zu tun. Aber Sicherheit beiseite – was ist, wenn Sie eine legitime Zeichenfolge in eine SQL-Abfrage einfügen möchten und die Zeichenfolge zufällig ein einfaches Anführungszeichen enthält? Du musst ihm trotzdem entkommen.