我有点困惑，PHP中有很多函数，有些使用这个，有些使用那个。有些人使用：htmlspecialchars()，htmlentities()，strip_tags()等哪个是正确的，你们通常使用什么？这是正确的吗（如果有的话，建议我做一个更好的）：$var = mysql_real_escape_string(htmlentities($_POST['username']));该行可以防止MySQL注入和XSS攻击？顺便说一句，除了XSS攻击和MySQL注入之外，还有其他需要注意的事情吗？编辑结论：如果我想将字符串插入数据库，则无需使用htmlentities，只需使用即可mysql_real_escape_string。在显示数据时，请使用htmlentities()，这是您的全部意思吗？总结：mysql_real_escape_string 在插入数据库时使用htmlentities() 在将数据输出到网页时使用htmlspecialchars() 什么时候用的？strip_tags() 什么时候用的？addslashes() 什么时候用的？有人可以填写问号吗？