Използвайте mysql_real_escape_string()
когато вмъквате низове в SQL заявки, без значение откъде идва входът.
Използвайте htmlspecialchars()
или htmlentities()
когато вмъквате низове в HTML код, без значение откъде идва входът.
Използвайте urlencode()
когато вмъквате стойности в низа на заявката на URL, без значение откъде идват стойностите.
Ако тези данни идват от потребителя, тогава определено трябва да направите тези неща, защото има вероятност потребителят да се опитва да направи лоши неща. Но настрана сигурността - какво ще стане, ако искате да вмъкнете легитимен низ в SQL заявка и низът просто има единичен знак в кавички? Все пак трябва да го избягаш.