Dat is te algemeen zou ik zeggen. Het mag veilig zijn voor veel gebruik, maar het zou vaak ongewenste neveneffecten aan strings geven. Niet elke string moet zo worden geëscaped.
mysql_real_escape_string()
mag alleen binnen SQL-query's worden gebruikt. Beter nog, bind parameters met PDO.- Waarom zou je striptags willen afdekken en entiteiten coderen voordat je ze in een database invoegt? Misschien doe het op weg naar buiten.
- Voor XSS-preventie,
htmlspecialchars()
is meer van je vriend. Geef het de tekenset als argument.
Dus ik zou mysql_real_escape_string()
. gebruiken voor zoekopdrachten, en htmlspecialchars()
voor het herhalen van door de gebruiker ingediende tekenreeksen. Er is ook veel meer te weten. Lees wat verder lezen
.