Я читал здесь немало вопросов и ответов по фильтрации пользовательского ввода, но в большинстве случаев ответ таков: это зависит от того, что вы повторять. Вот что я делаю:
Данные, отправленные через форму, которая будет использоваться в запросе MySQL:
function clean($field, $link)
{
return mysql_real_escape_string($field, $link);
}
Данные, отправленные через форму, которая будет отображаться обратно на странице HTML / PHP или в электронном письме:
function output_html($value)
{
return stripslashes(htmlspecialchars($value));
}
Данные отображаются из базы данных:
function output_db($value)
{
return stripslashes($value);
}
Достаточно ли этого для моих нужд? Есть ли что-то, что я не рассматриваю?
Спасибо!