PHP には非常に多くの関数があり、これを使用する関数もあれば、あれを使用する関数もあり、少し混乱しています。 htmlspecialchars()、htmlentities()、strip_tags() などを使用する人もいます。

どれが正しいですか？皆さんは普段何を使っていますか？

これは正しいですか (より良い方法があればアドバイスしてください):

$var = mysql_real_escape_string(htmlentities($_POST['username']));

この行は MySQL インジェクションと XSS 攻撃を防ぐことができますか??

ところで、XSS 攻撃と MySQL インジェクション以外に注意する必要があることはありますか?

編集

結論としては:

データベースに文字列を挿入したい場合は、htmlentities を使用する必要はなく、mysql_real_escape_string を使用するだけです。データを表示するときは htmlentities() を使用します。つまり、そういうことですか??

要約:

• データベースへの挿入時に使用される mysql_real_escape_string
• Webページにデータを出力するときに使用されるhtmlentities()
• htmlspecialchars() はいつ使用されますか?
• strip_tags() はいつ使用されますか?
• addslashes() はいつ使用されますか?

誰か疑問符を埋めてくれませんか？