在过去的几天里，我阅读了很多关于使用 PHP 对输入和输出数据进行清理以防止（最突出）XSS 和 SQL 注入的资源，以及关于 SO 的一堆问题。然而，在这一点上，我觉得我对我应该做什么和不应该做什么感到更加困惑和不安全，部分原因是一些相反的信息，例如我读过很多次我没有读过mysqli_real_escape_string如果我使用准备好的语句，则需要使用或任何其他形式的输入净化，其他消息来源说我无论如何都应该使用它，甚至应该像这样净化它；苹果的这个页面相当粗略地（？）讨论了这个话题；等等。因此，我真的很感激我应该做的一些澄清 - 最好但不一定，由在该领域（服务器端安全）有一些经验的人，例如在这个领域工作，已经完成了对此进行了大量研究，甚至可能站在攻击者的一边（？）。为了更好地了解我的情况，我将尽可能简洁地回顾一下：我目前正在使用 Swift (iOS) 编写应用程序，并且需要将一些数据发送到我的服务器，并使用 SQL 将其保存在表中，并且可以被其他用户检索（例如博客）。为此，我通过 POST 将编码为 JSON 的数据发送到我的服务器（“myphp.php”；使用 Alamofire，不过这应该不是很重要）并在那里对其进行解码。这是我不确定是否应该以某种方式清理我的数据的第一个地方（参考我上面链接的问题）。无论如何，然后我继续使用准备好的语句将它插入到表中（MySQL，所以没有任何模拟）。此外，我还希望我输出的数据可以在 html 中使用，或者更确切地说，整个 PHP 也可以用于 AJAX。这是我的意思的一个例子：// SWIFT// set parameters for requestlet parameters: Parameters = [    “key”: “value”,    ...]// request with json encoded parametersAlamofire.request(“myphp.php”, method: .post, parameters: parameters, encoding: JSONEncoding.default).validate().responseJSON(completionHandler: { (response) in// do things with data (e.g. show blog post)// PHPheader('Content-Type: application/json');$decodedPost = json_decode(file_get_contents('php://input'), true);// what to do with input...?// PREPARED STATEMENTS: insert, select, etc.// what to do with output...?// echo response - json-encoded so that// json completion handler in swift can work with it echo json_encode($output, JSON_NUMERIC_CHECK);我已经向一位朋友征求了一些建议，他告诉我他总是做以下事情（xss_clean()也是他发给我的一个功能）——无论数据是输入还是输出：$key = xss_clean(mysqli_real_escape_string($db, trim(htmlspecialchars($data)))); // e.g. $data = decodedPost["key"]然而，不仅我的研究告诉我这可能没有必要，而且他还告诉我这有其局限性，最明显的是，当数据应该从服务器再次检索并再次显示给例如另一个用户时——尽可能接近尽可能使用原始输入。如您所见，我真的很困惑。我想尽我所能保护发送到服务器的用户数据，所以这对我来说是一个非常重要的话题。我希望这个问题不会太宽泛，但许多其他问题，就像我说的那样，至少部分是矛盾的或非常古老的，例如仍然使用简单的mysql扩展并且没有准备好的陈述。如果您需要更多信息，请随时询问。非常感谢参考官方文档（以支持答案）。谢谢！