real_escape_string();

ウェブアプリを作っていると、POST等で受け取ったデータをデータベース内のデータと比較参照することがよくある。

そのまま参照するのはとても危険であり、その対策のためのソースがこちら。

$text = $mysqli->real_escape_string($_POST["text"]);