Gunakan mysql_real_escape_string() saat memasukkan string ke dalam kueri SQL, dari mana pun inputnya berasal.
Gunakan htmlspecialchars() atau htmlentities() saat memasukkan string ke dalam kode HTML, dari mana pun inputnya berasal.
Gunakan urlencode() saat memasukkan nilai ke dalam string kueri URL, dari mana pun nilai itu berasal.
Jika data ini berasal dari pengguna, maka Anda harus melakukan hal-hal ini karena ada kemungkinan pengguna mencoba melakukan hal-hal buruk. Tetapi selain keamanan - bagaimana jika Anda ingin memasukkan string yang sah ke dalam kueri SQL dan string tersebut kebetulan memiliki satu karakter kutipan di dalamnya? Anda masih harus menghindarinya.
