C'est une mauvaise idée pour plusieurs raisons :
- Tout d'abord, cela suppose que vos entrées iront toujours dans la base de données et uniquement dans la base de données. Et si quelque chose devait être utilisé dans la sortie HTML ? Ou dans un e-mail ? Ou écrit dans un fichier ? Ou bien d'autres choses... votre filtrage doit toujours être sensible au contexte.
-
Plus important encore, cela encourage une utilisation bâclée de GET, POST, etc., car rien n'indique qu'ils ont été filtrés. Si quelqu'un vous voit utiliser
echo $_POST['nom'];
sur une page, comment sauraient-ils qu'elle a été filtrée ? Ou pire encore... êtes-vous sûr que ça l'a été ? Qu'en est-il de cette autre application ? Vous savez, celui qu'on vient de vous remettre ? Que feraient les nouveaux développeurs ? Savent-ils même que le filtrage est important ?
