function clean($field,$link)
{
    return MysqL_real_escape_string($field,$link);
}

function output_html($value)
{
    return stripslashes(htmlspecialchars($value));
}

function output_db($value)
{
    return stripslashes($value);
}

在将字符串插入SQL查询时,无论输入来自何处,都使用MysqL_real_escape_string().

@H_403_1@将字符串插入HTML代码时,都使用htmlspecialchars()或htmlentities().

@H_403_1@将值插入URL的查询字符串时,请使用urlencode(),无论值来自何处.

@H_403_1@如果这些数据来自用户,那么你肯定应该做这些事情,因为用户有可能尝试做坏事.但是除了安全性之外 – 如果你想将一个合法的字符串插入一个SQL查询并且该字符串碰巧只有一个单引号字符怎么办？你仍然必须逃脱它.