همیشه پیش از درج داده های دریافتی در دیتابیس  باید آنها را اعتبار سنجی کرد تا کدهای مخرب در صورت وجود فیلتر شوند.

در php ، متدهای زیر 5 کاراکتر را که ممکن است در کدهای مخرب و sql injection استفاده شوند را به نهادهای متناظر html تبدیل می کنند .

htmlspecialchars();

htmlentities();

کاراکترهایی که توسط این متدها فیلتر می شوند :

& , " , ' , > , <

syntax

htmlspecialchars( string,flog );

string: شامل داده ها و رشته هایی است که باید ایمن شوند.

flog : شامل خصوصیت های زیر است :

ENT_COMPAT : به صورت پیش فرض است و تنها دبل کوتیشن را کد می کند .

ENT_QUOTES : هم تک کوتیشن و هم دبل کوتیشن را کد می کند.

مثال :

پیش از استفاده از داده ورودی در یک کوئری برای درج  در دیتابیس به این شکل کد می شود :

$user=$_POST['username'];

$user=htmlspecialchars($user ,ENT_QUOTES);

همچنین برای رمز گشایی در زمان فراخوانی اطلاعات ثبت شده از دیتابیس به این روش عمل می کنیم :

$user=htmlspecialchars_decode($res['user'] ,ENT_QUOTES);

برای کار با متد ()htmlentities نیز به همین روش عمل می کنیم .