Пытаюсь разобраться, какие функции лучше использовать в разных случаях при вводе данных, а также при выводе данных.
Когда я разрешаю пользователю вводить данные в MySQL, каков наилучший способ защиты данных для предотвращения SQL-инъекций и/или любых других типов инъекций или взломов, которые кто-то может предпринять?
Когда я вывожу данные в виде обычного html из базы данных, как лучше всего это сделать, чтобы скрипты и тому подобное не запускались?
На данный момент я в основном использую только
mysql_real_escape_string();
перед вводом данных в базу данных это, кажется, работает нормально, но я хотел бы знать, это все, что мне нужно сделать, или какой-то другой метод лучше.
И на данный момент я использую
stripslashes(nl2br(htmlentities()))
(в большинстве случаев) для вывода данных. Я считаю, что они отлично работают для того, для чего я их обычно использую, однако я столкнулся с проблемой с htmlentities, я хочу иметь возможность выводить некоторые теги html соответственно, например:
<ul></ul><li></li><bold></bold>
д., но я не могу.
любая помощь будет здорово, спасибо.