Такой вот теоретический вопрос. Допустим, есть форма ввода с полем типа text, оно передается в скрипт и записывается в переменную, далее эта переменная используется в различных функциях и в различных вариациях.
Посмотрел в разных движках, там в самом начале делается что-то вроде
$post_text = trim($_POST['text']);
$post_text = preg_replace('# +#is', ' ', $post_text);
$post_text = mb_substr($post_text, 0, 5000);
$post_text = htmlspecialchars($post_text, ENT_QUOTES);
$post_text = mysql_real_escape_string($post_text);
Последнее используется перед запросом к бд.
А вот если данные из POST фигурируют только в виде переменной в разных функциях, то на что следует обратить внимание?
