Powiedziałbym, że to zbyt ogólne. może być bezpieczna w wielu zastosowaniach, ale często dawałaby niepożądane efekty uboczne strunom. Nie każdy ciąg powinien mieć takie znaczenie.
mysql_real_escape_string()należy używać tylko w zapytaniach SQL. Jeszcze lepiej, powiąż parametry z PDO.- Dlaczego przed wstawieniem do bazy danych chcesz zaszyfrować tagi pasków i zakodować encje? Może zrób to przy wyjściu.
- W celu zapobiegania XSS,
htmlspecialchars()jest bardziej twoim przyjacielem. Daj mu zestaw znaków jako argument.
Więc użyłbym mysql_real_escape_string() dla zapytań i htmlspecialchars() do powtarzania ciągów przesłanych przez użytkownika. Jest też dużo więcej do poznania. Zrób dalszą lekturę
.
