Jeg vil sige, at det er for generelt. Det kan være sikker til mange anvendelser, men det ville ofte give uønskede bivirkninger til strenge. Ikke alle strenge skal undslippes på den måde.
mysql_real_escape_string()
bør kun bruges i SQL-forespørgsler. Endnu bedre, bind params med PDO.- Hvorfor ønsker du at slette tags og indkode enheder, før du indsætter dem i en database? Måske gør det på vej ud.
- For at forhindre XSS,
htmlspecialchars()
er mere af din ven. Giv det tegnsættet som et argument.
Så jeg ville bruge mysql_real_escape_string()
for forespørgsler og htmlspecialchars()
til ekko af brugerindsendte strenge. Der er også meget mere at vide. Læs lidt yderligere
.