mysql_real_escape_string()
का इस्तेमाल करें SQL क्वेरी में स्ट्रिंग्स डालते समय, कोई फर्क नहीं पड़ता कि इनपुट कहाँ से आता है।
htmlspecialchars()
का प्रयोग करें या htmlentities()
HTML कोड में स्ट्रिंग्स डालते समय, कोई फर्क नहीं पड़ता कि इनपुट कहाँ से आता है।
urlencode()
का उपयोग करें URL की क्वेरी स्ट्रिंग में मान डालते समय, कोई फर्क नहीं पड़ता कि मान कहाँ से आते हैं।
अगर ये डेटा यूजर की तरफ से आता है तो आपको ये चीजें जरूर करनी चाहिए क्योंकि इस बात की आशंका रहती है कि यूजर गलत काम करने की कोशिश कर रहा है. लेकिन सुरक्षा एक तरफ - क्या होगा यदि आप एक SQL क्वेरी में एक वैध स्ट्रिंग सम्मिलित करना चाहते हैं और स्ट्रिंग में केवल एक ही उद्धरण वर्ण होता है? आपको अभी भी इससे बचना होगा।