Saya akan mengatakan itu terlalu umum. Itu mungkin aman untuk banyak kegunaan, tetapi sering kali memberikan efek samping yang tidak diinginkan pada string. Tidak setiap string harus diloloskan seperti itu.
mysql_real_escape_string()harus digunakan dalam kueri SQL saja. Lebih baik lagi, ikat params dengan PDO.- Mengapa Anda ingin menyelubungi tag strip dan menyandikan entitas sebelum memasukkan ke dalam database? Mungkin melakukannya saat keluar.
- Untuk pencegahan XSS,
htmlspecialchars()lebih dari temanmu. Berikan set karakter sebagai argumen.
Jadi saya akan menggunakan mysql_real_escape_string() untuk kueri, dan htmlspecialchars() untuk menggemakan string yang dikirimkan pengguna. Ada juga banyak lagi yang perlu diketahui. Lakukan bacaan lebih lanjut
.
