การล้างอินพุตเป็นแนวคิดที่น่าสนใจใน PHP การฆ่าเชื้อหมายถึงการหลบหนีจากอักขระที่ไม่ได้รับอนุญาตในอินพุต มาเรียนรู้แนวทางปฏิบัติที่ดีที่สุดในการประมวลผลอินพุตด้วยวิธีที่ปลอดภัยกันเถอะ
การใช้ฟังก์ชัน real_escape_string() ในคำสั่ง mysqli
ตัวอย่าง
<?php
$conn= new mysqli("localhost", "root","","testdb");
$street = $conn->real_escape_string($_POST['street']);
?> เราสามารถใช้ htmlentities() และ html_entity_decode() ขณะแทรกข้อมูลในฐานข้อมูลและแสดงในเบราว์เซอร์ได้
ตัวอย่าง
<?php $data['message'] = htmlentities($message);//at the time of insert in database echo html_entity_decode($data['message']); //at the time of display in browser ?>
ล้างการป้อนข้อมูลของผู้ใช้เมื่ออยู่ใน Command Prompt โดยใช้ Escapeshellarg
ตัวอย่าง −
<?php system('ls '.escapeshellarg($data['dir']));?> 