Hay distintas amenazas de las que (probablemente) está hablando aquí:
- Necesitas desinfectar datos que se insertan en la base de datos para evitar inyecciones de SQL .
- También debe tener cuidado con los datos que se muestran al usuario, ya que pueden contener scripts maliciosos (si los enviaron otros usuarios). Consulte la entrada de Wikipedia para secuencias de comandos entre sitios (también conocido como XSS)
Lo que es dañino para su base de datos no es necesariamente dañino para los usuarios (y viceversa). Tienes que encargarte de ambas amenazas en consecuencia.
En tu ejemplo:
- Utilice mysqli::real_escape_string () en los datos que se insertan en su base de datos (desinfección)
Probablemente desee usar el purificador antes de la inserción de datos, solo asegúrese de que esté "purificado" para cuando el usuario lo obtenga.
Es posible que deba usar striplashes
() en los datos recuperados de la base de datos para mostrarlos correctamente al usuario si magic_quotes
están encendidos