常见的误解是可以过滤用户输入。PHP甚至有一个（现在已弃用的）“功能”，称为magic-quotes，它基于此思想。废话
忘记过滤（或清洁，或任何人称呼它）。

为避免出现问题，您应该做的事情很简单：每当将字符串嵌入外部代码中时，都必须根据该语言的规则对其进行转义。例如，如果您在针对MySQL的某些SQL中嵌入了字符串，则必须为此使用MySQL的函数对字符串进行转义（mysqli_real_escape_string）。（或者，对于数据库，在可能的情况下，使用预备语句是更好的方法。）

另一个示例是HTML：如果将字符串嵌入HTML标记中，则必须使用对其进行转义htmlspecialchars。这意味着每个单行echo或print语句应使用htmlspecialchars。

第三个示例是shell命令：如果要将字符串（例如参数）嵌入到外部命令中，并使用调用它们exec，则必须使用escapeshellcmd和escapeshellarg。

等等等等 …

您需要主动过滤数据的 唯一
情况是接受预先格式化的输入。例如，如果您让用户发布HTML标记，那么您计划显示在网站上。但是，您应该明智地不惜一切代价避免这种情况，因为无论您对其进行多么好的过滤，它始终都是潜在的安全漏洞。