Ich bin etwas verwirrt, es gibt so viele Funktionen in PHP und einige nutzen diese, andere jenes. Manche Leute verwenden: htmlspecialchars(), htmlentities(), strip_tags() usw

Welches ist das richtige und was verwendet ihr normalerweise?

Ist das richtig (raten Sie mir ggf. ein besseres):

$var = mysql_real_escape_string(htmlentities($_POST['username']));

Kann diese Zeile MySQL-Injection und XSS-Angriffe verhindern?

Gibt es übrigens noch andere Dinge, auf die ich neben dem XSS-Angriff und der MySQL-Injection achten muss?

BEARBEITEN

Zum Abschluss:

Wenn ich einen String in die Datenbank einfügen möchte, muss ich keine htmlentities verwenden, sondern nur den mysql_real_escape_string. Verwenden Sie beim Anzeigen der Daten htmlentities(). Ist das das, was Sie alle meinen?

Zusammenfassen:

• mysql_real_escape_string wird beim Einfügen in die Datenbank verwendet
• htmlentities() wird bei der Ausgabe von Daten auf einer Webseite verwendet
• Wann wird htmlspecialchars() verwendet?
• Wann wird strip_tags() verwendet?
• wann wird addslashes() verwendet?

Kann jemand das Fragezeichen ausfüllen?