Я прав или я что-то упускаю?
Нет, вы совершенно правы.Большой шрифт для случайных читателей, которые могут каким-то образом упустить смысл вашего вопроса.
Различные типы вывода требуют различных типов защиты.
Ядерные вещи, которые могут бытьHTML, и вы будете безопаснее против XSS.Правильно цитируйте и избегайте ввода в базу данных, и вы будете более защищены от SQL-инъекций.Следите за неожиданным вводом везде , и вы повысите безопасность своего кода.
Это удивительно, что вы теперь полностью осознали это.Слишком много людей не .
Я просто обнаруживаю, что PHP очищает и проверяет фильтры
Это хорошо, не так ли?Они хорошая часть современного PHP.Используйте их религиозно, и они не подведут вас.За исключением электронного письма, оно не проходит большое количество крайних случаев;Я предпочитаю is_email .
Я использовал MySQL mysql_escape_string, чтобы остановить SQL-инъекцию.
Это ... не очень хорошая часть современногоPHP.Я также надеюсь, что вы используете функцию escape-строки со словом «real», в противном случае у вас могут возникнуть проблемы.
Я думаю, что вы готовы к следующему шагу: Learn PDO .Он содержит подготовленных операторов и заполнителей запросов , которые обеспечат вам полную и полную защиту от SQL-инъекций при правильном использовании.PDO доступен везде, где доступны современные версии PHP.Это встроено прямо. Используйте это, изучите это, любите это.Или ты обречен.Обреченный!