你从不清理输入。

你总是要清理输出。

你应用到数据的转换，使其能够安全地包含在SQL语句中，完全不同于你在HTML中应用的转换，完全不同于你在Javascript中应用的转换，完全不同于你在LDIF中应用的转换，完全不同于你应用到CSS中的转换，完全不同于你应用到Email....中的转换

务必验证输入——决定您是否应该接受它进行进一步处理，还是告诉用户它是不可接受的。但是不要对数据的表示进行任何更改，直到它离开PHP为止。

很久以前，有人试图发明一种适合所有人的机制来转义数据，我们最终使用了“magic_quotes”，它不能正确地转义所有输出目标的数据，导致不同的安装需要不同的代码才能工作。

PHP 5.2引入了filter_var函数。

它支持大量的SANITIZE, VALIDATE过滤器。

不。你不能在没有任何上下文的情况下过滤数据。有时你想把SQL查询作为输入，有时你想把HTML作为输入。

您需要筛选白名单上的输入——确保数据符合您所期望的某些规范。然后，您需要在使用它之前对它进行转义，这取决于您使用它的上下文。

为SQL转义数据(防止SQL注入)的过程与为(X)HTML转义数据(防止XSS)的过程非常不同。

要解决XSS问题，可以看看HTML Purifier。它具有相当的可配置性和良好的记录。

对于SQL注入攻击，解决方案是使用准备好的语句。PDO库和mysqli扩展支持这些功能。

如果你使用的是PostgreSQL, PHP的输入可以用pg_escape_literal()进行转义

$username = pg_escape_literal($_POST['username']);

从文档中可以看到:

pg_escape_literal()转义用于查询PostgreSQL数据库的字面值。它返回PostgreSQL格式的转义文本。

不要试图通过清除输入数据来防止SQL注入。

相反，不允许在创建SQL代码时使用数据。使用使用绑定变量的预制语句(即在模板查询中使用参数)。这是防止SQL注入的唯一方法。

有关防止SQL注入的更多信息，请访问我的网站http://bobby-tables.com/。