Как вы обрабатываете данные перед добавлением в базу данных и при выводе из нее?
Опишу как это делаю обычно я на примере чисел и текста.
Я обычно использую следующие проверки:
- Убираю пробелы по бокам
$name = trim(POST['name']);
- Если получаемая переменная должна быть числом, тогда привожу к числовому
типу
$num = (int)$_POST['num'];
- Использую подготовленные запросы PDO
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
- При выводе в HTML (например из БД ) текстовые данные обрабатываю функцией htmlspecialchars
$name = htmlspecialchars($name);