Вы никогда не санируете вход.

Вы всегда дезинфицируете вывод.

Преобразования, которые вы применяете к данным, чтобы сделать их безопасными для включения в оператор SQL, полностью отличаются от применяемых вами для включения в HTML полностью отличаются от тех, которые вы применяете для включения в Javascript, полностью отличаются от тех, которые вы применяете для включения в LDIF, полностью отличаются от тех, которые вы применяете для включения в CSS, полностью отличаются от тех, которые вы применяете для включения в электронную почту. ...

Во всех отношениях проверить ввод - решить, следует ли принять его для дальнейшей обработки или сообщить пользователю, что это неприемлемо. Но не применяйте никаких изменений к представлению данных до тех пор, пока он не покинет землю PHP.

Давным-давно кто-то пытался изобрести одноразмерный механизм для экранирования данных, и мы закончили с помощью « magic_quotes », который не обеспечивал надлежащее удаление данных для всех целей вывода и приводил к другой установке, требующей работы другого кода.