Класс для работы с бл должен сам автоматически фильтровать данные. А вот для фильтрации от xss я бы создал хелпер(если это приложение, по идее хелпер- статический класс).

Ребят, без оффтопа.

Istsam, с грамматикой всё норм у него, читать можно . Есть люди, которых я вообще не понимаю.
добавлено спустя 1 минуту:
Опа, все /([a-z]*)12/ присоединились
добавлено спустя 2 минуты:
Кстати, как раз читал по-поводу массовой фильтрации:


Допустим, что переданная серверу переменная ?var=1 занимает в памяти n байт , то обработка этой бедняжки цмс-кой займет 10*n байт (все цифры от плеча). Но дальше интереснее! Если передать ?var[]=1, то памяти займет в m раз больше, следовательно память для процесса цмски выделится 10*n*m байт . Суть в том, что проверяются все данные подряд, независимо от их размера, и сильно растет потребление памяти. Размер передаваемого get ограничен, это спасает. Но размер post допустим куда больше, я в основном наблюдал около 5-10мб без файлов. И не забываем про время, необходимое для обработки таких данных не самыми простыми фильтрами!
добавлено спустя 1 минуту:
Кстати, так по идее антохину кмс можно заддосить , у него там тоже массовая фильтрация.

xman12, есть статьи которые писались с балды, а может и ошибочными фактами, таких очень много, ну а елси бы была бы уязвимость критическая, то о неё уже всё знали
добавлено спустя 7 минут:
manyrus, лимит выделения памяти на скрипт закончиться и всё дисконект и убитый процесс, это надо 1к сеансов открывать но и их чаще всего сейчас не дадут http сервера

manyrus, фильтруется только GET, максимальная длина которого в apache по умолчанию 8кб

Apache: Строго говоря, ограничение длины URL можно менять в конфигурации сервера параметрами LimitRequest*, поэтому все зависит от конкретного случая. Но существуют значения по-умолчанию, которые часто оставляют неизменными. Они лимитируют длину URL (точнее, любой строки HTTP-запроса) значением в 8 килобайт. В более ранних версиях Apache было 4 килобайта.