Đó là một ý tưởng tồi vì một vài lý do:
- Đầu tiên, nó giả định rằng đầu vào của bạn sẽ luôn đi vào cơ sở dữ liệu và chỉ vào cơ sở dữ liệu. Điều gì sẽ xảy ra nếu thứ gì đó sẽ được sử dụng trong đầu ra HTML? Hoặc trong một email? Được ghi vào một tập tin? Hoặc nhiều thứ khác .. bộ lọc của bạn phải luôn phân biệt ngữ cảnh.
-
Quan trọng hơn, nó khuyến khích việc sử dụng GET, POST, v.v ... không có dấu hiệu cho thấy chúng đã được lọc. Nếu ai đó thấy bạn sử dụng
echo $ _POST ['name'];
trên một trang, làm thế nào họ biết nó đã được lọc? Hay thậm chí tệ hơn ... bạn có chắc là nó đã từng xảy ra không? Điều gì về ứng dụng khác? Bạn biết không, một trong những bạn vừa được giao? Các nhà phát triển mới sẽ làm gì? Họ thậm chí có biết rằng lọc là quan trọng không?
