function sanitizeString($var)
{
    $var = stripslashes($var);
    $var = htmlentities($var);
    $var = strip_tags($var);
    return $var;
}

function sanitizeMysqL($var)
{
    $var = MysqL_real_escape_string($var);
    $var = sanitizeString($var);
    return $var;
}

我从一本书中得到了这两个函数,作者说通过使用这两个函数,我可以对XSS(第一个函数)和sql注入(第二个函数)更加安全.
这些都是必要的吗？

另外,对于清理,我使用预准备语句来防止sql注入.

我会像这样使用它：

$variable = sanitizeString($_POST['user_input']);
$variable = sanitizeMysqL($_POST['user_input']);

编辑：摆脱第一个函数的strip_tags,因为它没有做任何事情.
使用这两个功能是否足以防止大多数攻击并且对公共站点没问题？