> Какой базовый принцип безопасности при работе с пользовательскими данными (PHP)

Базовый принцип - никогда не доверять пользовательским данным. В PHP это означает, что любые входные данные (из $_GET, $_POST, $_COOKIE, $_FILES и даже $_SERVER) должны проходить строгую валидацию и санитизацию перед использованием. Например, при работе с SQL-запросами обязательно использовать подготовленные выражения (PDO или MySQLi) для предотвращения SQL-инъекций, а не экранирование через mysqli_real_escape_string. Для вывода данных в HTML - применять htmlspecialchars() с флагом ENT_QUOTES и указанием кодировки, чтобы избежать XSS-атак. Также важно фильтровать типы данных: если ожидается число, проверять через filter_var($input, FILTER_VALIDATE_INT). Никогда не включайте пользовательский ввод напрямую в eval(), include(), system() или пути файловой системы без жесткой проверки.