Qual è il modo giusto per sfuggire ai dati di input e output degli utenti rispetto a xss e sql injection? Questo è quello che volevo usare, non so se è sicuro.
Questo sotto come input
function check_input($data) {
$data = trim($data);
$data = strip_tags($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
$data = filter_var($data, FILTER_SANITIZE_STRING);
return $data;
}
Quindi utilizza questo sotto come output
echo htmlspecialchars($data, ENT_QUOTES, 'UTF-8');
o
echo htmlentities($data, ENT_COMPAT, 'UTF-8', false);