Бих казал, че е твърде общо. може бъде безопасен за много употреби, но често би довел до нежелани странични ефекти върху низовете. Не всеки низ трябва да се екранира по този начин.
mysql_real_escape_string()
трябва да се използва само в SQL заявки. Още по-добре, свържете параметрите с PDO.- Защо искате да разчистите маркерите и да кодирате обекти, преди да ги вмъкнете в база данни? Може би го направи на излизане.
- За предотвратяване на XSS,
htmlspecialchars()
е повече твой приятел. Дайте му набора от знаци като аргумент.
Така че бих използвал mysql_real_escape_string()
за заявки и htmlspecialchars()
за ехо, изпратени от потребителя низове. Има и много повече да се знае. Направете малко допълнително четене
.