Gebruik mysql_real_escape_string() bij het invoegen van strings in SQL-query's, ongeacht waar de invoer vandaan komt.
Gebruik htmlspecialchars() of htmlentities() bij het invoegen van strings in HTML-code, ongeacht waar de invoer vandaan komt.
Gebruik urlencode() bij het invoegen van waarden in de queryreeks van een URL, ongeacht waar de waarden vandaan komen.
Als deze gegevens van de gebruiker komen, dan moet je deze dingen zeker doen omdat de kans bestaat dat de gebruiker slechte dingen probeert te doen. Maar veiligheid terzijde - wat als u een legitieme tekenreeks in een SQL-query wilt invoegen en de tekenreeks toevallig een enkel aanhalingsteken bevat? Je moet er nog steeds aan ontsnappen.