Itu ide yang buruk karena beberapa alasan:
- Pertama, diasumsikan bahwa input Anda akan selalu masuk ke database dan ke database saja. Bagaimana jika sesuatu akan digunakan dalam output HTML? Atau di email? Atau ditulis ke file? Atau banyak hal lainnya.. pemfilteran Anda harus selalu peka terhadap konteks.
-
Lebih penting lagi, ini mendorong penggunaan GET, POST, dll yang ceroboh karena tidak ada indikasi bahwa mereka telah difilter. Jika seseorang melihat Anda menggunakan
echo $_POST['nama'];
pada halaman, bagaimana mereka tahu itu telah difilter? Atau bahkan lebih buruk... Anda yakin pernah? Bagaimana dengan aplikasi lain itu? Anda tahu, yang baru saja Anda serahkan? Apa yang akan dilakukan pengembang baru? Apakah mereka tahu bahwa pemfilteran itu penting?
