Grundsätzlich müssen Sie Benutzereingaben sanieren, wenn Sie es irgendwo senden.
Wenn Sie es in Ihre Datenbank setzen müssen Sie SQL-Injection verhindern, indem sie unter Angabe SQL Sonderzeichen (vorbereitete Anweisungen wird dies für Sie tun). Wenn Sie es an einen Browser senden, müssen Sie HTML-Sonderzeichen umgehen (PHP verfügt über Funktionen, um dies zu verhindern), um eine Skriptinjektion zu verhindern.
Es können auch andere Orte, an denen Sie Sonderzeichen entkommen müssen, auch. Zum Beispiel, wenn Sie die Kommentare an ein Bash-Skript auf dem Server senden, um irgendeine Art von Verarbeitung durchzuführen. In diesem Fall müssten Sie Bash-spezifische Sonderzeichen zitieren oder entziehen.
Es ist wichtig, nicht Zitat/Flucht an der falschen Stufe: zum Beispiel, keine HTML-Entitäten entkommen, wenn Sie es in die Datenbank gestellt, wenn Sie absolut sicher sind, was Sie tun. Es ist sehr einfach, versehentlich Dinge wieder zu entkommen, wenn Sie es aus der Datenbank ziehen und darauf vorbereiten, es an einen Browser zu senden, oder wenn Sie eine Fehlermeldung senden, wenn die Datenbankverbindung fehlschlägt (dies könnte eine XSS-Sicherheitslücke verursachen)). Entfliehen Sie im letzten Moment und Sie werden diese Fallstricke wahrscheinlich vermeiden.
ich vergessen zu schreiben, ich bin mit redbean, die auf PDO gebaut wird. – jonnnnnnnnnie