在過去的幾天里，我閱讀了很多關于使用 PHP 對輸入和輸出數據進行清理以防止（最突出）XSS 和 SQL 注入的資源，以及關于 SO 的一堆問題。然而，在這一點上，我覺得我對我應該做什么和不應該做什么感到更加困惑和不安全，部分原因是一些相反的信息，例如我讀過很多次我沒有讀過mysqli_real_escape_string如果我使用準備好的語句，則需要使用或任何其他形式的輸入凈化，其他消息來源說我無論如何都應該使用它，甚至應該像這樣凈化它；蘋果的這個頁面相當粗略地（？）討論了這個話題；等等。因此，我真的很感激我應該做的一些澄清 - 最好但不一定，由在該領域（服務器端安全）有一些經驗的人，例如在這個領域工作，已經完成了對此進行了大量研究，甚至可能站在攻擊者的一邊（？）。為了更好地了解我的情況，我將盡可能簡潔地回顧一下：我目前正在使用 Swift (iOS) 編寫應用程序，并且需要將一些數據發送到我的服務器，并使用 SQL 將其保存在表中，并且可以被其他用戶檢索（例如博客）。為此，我通過 POST 將編碼為 JSON 的數據發送到我的服務器（“myphp.php”；使用 Alamofire，不過這應該不是很重要）并在那里對其進行解碼。這是我不確定是否應該以某種方式清理我的數據的第一個地方（參考我上面鏈接的問題）。無論如何，然后我繼續使用準備好的語句將它插入到表中（MySQL，所以沒有任何模擬）。此外，我還希望我輸出的數據可以在 html 中使用，或者更確切地說，整個 PHP 也可以用于 AJAX。這是我的意思的一個例子：// SWIFT// set parameters for requestlet parameters: Parameters = [    “key”: “value”,    ...]// request with json encoded parametersAlamofire.request(“myphp.php”, method: .post, parameters: parameters, encoding: JSONEncoding.default).validate().responseJSON(completionHandler: { (response) in// do things with data (e.g. show blog post)// PHPheader('Content-Type: application/json');$decodedPost = json_decode(file_get_contents('php://input'), true);// what to do with input...?// PREPARED STATEMENTS: insert, select, etc.// what to do with output...?// echo response - json-encoded so that// json completion handler in swift can work with it echo json_encode($output, JSON_NUMERIC_CHECK);我已經向一位朋友征求了一些建議，他告訴我他總是做以下事情（xss_clean()也是他發給我的一個功能）——無論數據是輸入還是輸出：$key = xss_clean(mysqli_real_escape_string($db, trim(htmlspecialchars($data)))); // e.g. $data = decodedPost["key"]然而，不僅我的研究告訴我這可能沒有必要，而且他還告訴我這有其局限性，最明顯的是，當數據應該從服務器再次檢索并再次顯示給例如另一個用戶時——盡可能接近盡可能使用原始輸入。如您所見，我真的很困惑。我想盡我所能保護發送到服務器的用戶數據，所以這對我來說是一個非常重要的話題。我希望這個問題不會太寬泛，但許多其他問題，就像我說的那樣，至少部分是矛盾的或非常古老的，例如仍然使用簡單的mysql擴展并且沒有準備好的陳述。如果您需要更多信息，請隨時詢問。非常感謝參考官方文檔（以支持答案）。謝謝！