आपको डॉलर के संकेत से बचने की जरूरत नहीं है। MySQL उस वर्ण का विशेष रूप से इलाज नहीं करता है, और PHP इसे केवल स्रोत कोड में पहचानता है, स्ट्रिंग मानों में नहीं (जब तक कि आप eval
को कॉल नहीं करते हैं) स्ट्रिंग पर, लेकिन यह कीड़ों की एक पूरी अन्य कैन है)।
आपको केवल %
से बचना होगा और _
यदि आपने उपयोगकर्ता इनपुट का उपयोग LIKE
. के तर्क के रूप में किया है और आप नहीं चाहते थे कि उपयोगकर्ता वाइल्डकार्ड का उपयोग कर सके। यदि आप किसी खोज फ़ॉर्म को संसाधित कर रहे हैं तो यह सामने आ सकता है। डेटाबेस में संग्रहीत करते समय आपको इसका उपयोग करने की आवश्यकता नहीं है।
आपको htmlspecialchars
. का उपयोग करने की आवश्यकता नहीं है डेटाबेस तक पहुँचने पर। इसका उपयोग केवल तब किया जाना चाहिए जब आप XSS इंजेक्शन को रोकने के लिए HTML पृष्ठ में उपयोगकर्ता को डेटा प्रदर्शित कर रहे हों।