- Se till att Magic Quotes är avstängd eller, om du inte kan inaktivera dem, rensa dina strängar från dem. Läs manualen för detaljer:http://www.php.net/manual /en/security.magicquotes.php
- När du infogar din text i databasen, escape den korrekt för SQL-syntax en gång eller, bättre, använd förberedda uttalanden. Se Hur kan jag förhindra SQL-injektion i PHP ? och Den stora eskapismen (eller:vad du behöver veta för att arbeta med text i text) .
- När du matar ut till HTML, använd
htmlspecialchars
för att undvika HTML-injektion eller vanliga syntaxproblem och använd efteråtnl2br
för att formatera radbrytningar specifikt för HTML.
Det är i princip det.