В области администрирования моего сайта я использовал mysqli_real_escape_string при получении ввода формы, который поступает в базу данных. Он отлично работает, но я понимаю, что он не предотвращает внедрение скриптов. Я имею в виду, что я могу пройти через такие сценарии, как:
<script>alert('hello');</script>
Что я использую в дополнение к этому, чтобы предотвратить внедрение злоумышленником каких-то неприятных вещей?
htmlentities()
?strip_tags()
?htmlspecialchars()
?
Каков правильный способ очистки ввода формы в внутренних формах, где html не требуется для ввода данных? Я смущен?