Utilisez mysql_real_escape_string()
lors de l'insertion de chaînes dans des requêtes SQL, quelle que soit l'origine de l'entrée.
Utilisez htmlspecialchars()
ou htmlentities()
lors de l'insertion de chaînes dans le code HTML, quelle que soit l'origine de l'entrée.
Utilisez urlencode()
lors de l'insertion de valeurs dans la chaîne de requête d'une URL, quelle que soit l'origine des valeurs.
Si ces données proviennent de l'utilisateur, vous devez absolument faire ces choses car il est possible que l'utilisateur essaie de faire de mauvaises choses. Mais côté sécurité, que se passe-t-il si vous souhaitez insérer une chaîne légitime dans une requête SQL et que la chaîne contient simplement un guillemet simple ? Vous devez toujours y échapper.