Vous semblez un peu mêlé là-bas parce que vous avez 2 moyens d'échapper à des données et aucun de filtrage lorsque la règle est FIEO filtre de sortie d'échappement d'entrée
Filtrage:
si vous décidez qu'un « nom » ne peut être que des lettres majuscules et minuscules, entre 2 et 50 caractères et peut contenir des tirets et des guillemets simples (') alors vous devriez:
supprimer tout ce qui ne correspond pas à votre propre exemple de définition ci-dessus (en utilisant peut-être des expressions régulières) OU abandonner l'opération
Selon le type que vous voulez être à votre cracker utilisateur/potentiel
filter_var() est également très utile dans ce scénario.
Échapper
Vous échappez les données en préparation pour l'environnement suivant les données se dirige vers;
Si c'est pour aller dans une base de données alors vous utiliseriez votre mysqli_real_escape_string(), si vous faites écho à l'écran en html puis utilisez htmlentities() et ainsi de suite.
HTH
valider = échapper –