Saya agak keliru, terdapat begitu banyak fungsi dalam PHP, dan ada yang menggunakan ini, ada yang menggunakan itu. Sesetengah orang menggunakan: htmlspecialchars(), htmlentities(), strip_tags() dsb

Mana satu yang betul dan apa yang biasa kamu gunakan?

Adakah ini betul (nasihatkan saya yang lebih baik, jika ada):

$var = mysql_real_escape_string(htmlentities($_POST['username']));

Talian ini boleh menghalang suntikan MySQL dan serangan XSS??

Btw, adakah perkara lain yang perlu saya perhatikan selain serangan XSS dan suntikan MySQL?

EDIT

Untuk membuat kesimpulan:

Jika saya ingin memasukkan rentetan ke pangkalan data, saya tidak perlu menggunakan htmlentities, hanya gunakan mysql_real_escape_string. Apabila memaparkan data, gunakan htmlentities(), adakah itu yang anda semua maksudkan??

ringkaskan:

• mysql_real_escape_string digunakan apabila dimasukkan ke dalam pangkalan data
• htmlentities() digunakan semasa mengeluarkan data ke halaman web
• htmlspecialchars() digunakan bila?
• strip_tags() digunakan bila?
• addslashes() digunakan bila?

Bolehkah seseorang mengisi tanda soal?