htmlentities() SQL के लिए डेटा को सुरक्षित बनाने के लिए अनावश्यक है। XSS भेद्यता से बचने के लिए, HTML आउटपुट में डेटा मानों को प्रतिध्वनित करते समय इसका उपयोग किया जाता है। यह भी एक महत्वपूर्ण सुरक्षा समस्या है जिस पर आपको ध्यान देने की आवश्यकता है, लेकिन यह SQL से संबंधित नहीं है।
addlashes() mysql_real_escape_string के साथ बेमानी है। आप डेटाबेस में अपने स्ट्रिंग्स में शाब्दिक बैकस्लैश के साथ समाप्त होंगे।
जादू उद्धरण का प्रयोग न करें। यह सुविधा कई सालों से बंद है। PHP कोड को ऐसे वातावरण में परिनियोजित न करें जहां जादुई उद्धरण सक्षम हैं। यदि यह सक्षम है, तो इसे बंद कर दें। यदि यह एक होस्ट किया गया वातावरण है और वे जादुई उद्धरणों को बंद नहीं करेंगे, तो एक नया होस्टिंग प्रदाता प्राप्त करें।
ext/mysql
का प्रयोग न करें . यह क्वेरी पैरामीटर, लेनदेन, या OO उपयोग का समर्थन नहीं करता है।
अपडेट करें:ext/mysql
PHP 5.5.0 (2013-06-20) में पदावनत किया गया था, और PHP 7.0.0 (2015-12-03) में हटा दिया गया था। आप वास्तव में इसका उपयोग नहीं कर सकते।
PDO का इस्तेमाल करें , और तैयार क्वेरी का उपयोग करके अपने प्रश्नों को सुरक्षित बनाएं ।
सुरक्षित SQL लिखने के बारे में अधिक जानकारी के लिए, मेरी प्रस्तुति पढ़ें SQL इंजेक्शन मिथक और भ्रम ।