POST/GET ile gelen verinin ne olması gerektiğini biliyorsam (tel no, e-posta adresi gibi) ona göre bir şablon (pattern) hazırlıyorum. Şablona göre de regex ile kontrolünü yapıyorum. (Veri şablona uygunsa işlemi yap, değilse yapma.)

Böylelikle hem filtreleme yapmama gerek kalmıyor hem de gelen verinin benim işime yarayıp yaramadığımı anlayabiliyorum.

SQL açığı için ise o işi PDO prepare'ye devrettim, o ilgileniyor.

Bunun dışında 404 hatası verenlerin kayıtlarını tutuyorum. Sistem, X süre içinde çok sayıda 404 hatası olduğunda .htaccess üzerine IP adresini yazarak banlıyor.