Sử dụng mysql_real_escape_string() khi chèn chuỗi vào truy vấn SQL, bất kể đầu vào đến từ đâu.
Sử dụng htmlspecialchars() hoặc htmlentities() khi chèn các chuỗi vào mã HTML, bất kể đầu vào đến từ đâu.
Sử dụng urlencode() khi chèn giá trị vào chuỗi truy vấn của URL, bất kể giá trị đến từ đâu.
Nếu dữ liệu này đến từ người dùng, thì bạn chắc chắn nên làm những điều này vì rất có thể người dùng đang cố gắng làm điều xấu. Nhưng bảo mật sang một bên - điều gì sẽ xảy ra nếu bạn muốn chèn một chuỗi hợp pháp vào một truy vấn SQL và chuỗi chỉ có một ký tự trích dẫn duy nhất trong đó? Bạn vẫn phải thoát khỏi nó.
