Ne. Dělá to hrozný nepořádek ve vašich datech.
Ano. Svůj kód můžete chránit před injekcemi SQL.
Zde je stručné vysvětlení, které jsem již uvedl
Jenom musím dodat, že byste si neměli kazit svá zdrojová datová pole.
Pole POST má co do činění s SQL. Data mohou jít do e-mailu, formuláře HTML, souboru, online služby atd. Proč to všechno zacházet s ochranou SQL?
Na druhou stranu můžete svá data převzít nikoli z POST, ale ze souboru online služba, jiný dotaz.
Musíte tedy chránit nikoli zdrojová pole, ale skutečná data, která jsou součástí dotazu
Když už mluvíme o XSS, opět neexistuje žádné jednoduché univerzální pravidlo.
Obecně ale musíte použít htmlspecialchars($data,ENT_QUOTES); pro všechna nedůvěryhodná data, která vydáte jako text, a některé další druhy ověření v některých speciálních případech, jako jsou názvy souborů