Použijte mysql_real_escape_string() při vkládání řetězců do SQL dotazů bez ohledu na to, odkud vstup pochází.
Použijte htmlspecialchars() nebo htmlentities() při vkládání řetězců do kódu HTML bez ohledu na to, odkud vstup pochází.
Použijte urlencode() při vkládání hodnot do řetězce dotazu adresy URL, bez ohledu na to, odkud hodnoty pocházejí.
Pokud tato data pocházejí od uživatele, měli byste tyto věci určitě udělat, protože existuje šance, že se uživatel pokouší dělat špatné věci. Ale bezpečnost stranou – co když chcete do dotazu SQL vložit legitimní řetězec a řetězec v něm náhodou obsahuje jediný znak uvozovky? Stále tomu musíte uniknout.