自作関数を作ろうかと思いましたが、準備されているようでしたので。。。
- XSS対策~htmlspecialchar~
入力内容に<や>、&、’などの特殊文字をエスケープ処理する。
htmlspecialchar($str, ENT_QUOTES);
ENT_QUOTESは必須。シングルコーテーションも'にエスケープします。
ただし、クライアントJavaScriptでエスケープ内容を表示するとエラーになる可能性があります。そのときは、addslashes関数をかましましょう。 - SQLインジェクション対策~pg_escape_string~
SQLインジェクション対策の手法はいろいろありますが、DB側で用意しているエスケープ処理をするのが簡単&安全です。
※そこにバグがあれば、まずいですけど・・・
PostgreSQLの場合は、pg_escape_stringを使います。MySQLなども同等の機能を用意していますね。
ただし、自分なりに納得できる関数がなかなか作れなかったのが残念ですね・・・
何にしても、外部からの怪しいアクセスに対して万全であることが大切です。