Amb PHP tenim tres maneres de netejar (sanejar, sanitize, sanitization …) les variables:
htmlspecialchars() – Converteix caràcters especials, com &””<>, a entitats HTML
htmlentities() – Similar a l’anterior, però converteix més caràcters a entitats HTML
strip_tags() – Elimina etiquetes HTML i PHP de la cadena, per exemple enllaços i comentaris
echo 'Resultat:<b>' . htmlspecialchars($_GET["NOM_VARIABLE"], ENT_QUOTES, "UTF-8") . '</b>';
Amb htmlspecialchars en fem prou. htmlentities és necessari si la pàgina utiltiza alguna codificació ASCII o LATIN-1 enlloc de UTF-8 i si estem tractant dades amb codificació diferent de la definida a la pàgina.
Tot l’anterior, només és per mostrar per pantalla els resultats. Si el què volem és guardar-ho a una base de dades MySQL, hem de fer servir mysqli_real_escape_string() …
$NOM_VARIABLE = mysqli_real_escape_string($con, $_GET['NOM_VARIABLE']);