¿Usar comillas simples o dobles para evitar XSS y SQLi?

Sin comillas, la carga útil escaparía del valor del atributo real e iniciará un nuevo atributo con su propia carga útil:

<div class=fist onclick=console.log(document.cookie)>

Mientras que entre comillas seguirá siendo un valor de atributo único inofensivo:

<div class="fist onclick=console.log(document.cookie)">

Tenga en cuenta que para evitar XSS, también debe codificar los caracteres especiales dentro del valor.

Para la inyección SQL la situación es diferente. Se recomienda estrictamente no declarar los valores de entrada en la consulta en primer lugar.

Para evitar una inyección de SQL, se debe definir un parámetro en la consulta en lugar del valor real, que debe enviarse a la ejecución de la consulta por separado:

$stmt->prepare("SELECT * FROM t WHERE id=?");
$stmt->execute([$id]);

Por lo tanto, no debe haber ni una sola cita en la consulta relacionada con el valor agregado dinámicamente, lo que hace que la pregunta en las citas sea irrelevante.

Nunca confíe en las cotizaciones para protegerse contra la inyección de código. No en HTML, y ciertamente no en SQL.

Un atacante que tiene la capacidad de inyectar cadenas no escapadas arbitrarias en su código fuente ya ha ganado, independientemente de los caracteres que utilice para envolver ese texto sin filtrar.

En su lugar, use cualquier sistema que el lenguaje o el marco que esté usando se haya creado para manejar las opiniones de los usuarios. En SQL puro, eso es probablemente consultas parametrizadas . En HTML generado por PHP, htmlspecialchars . En JavaScript del lado del cliente, Element.setAttribute . Averigüe qué sistema le proporciona su lenguaje / marco y úselo. No solo rodee el texto arbitrario entre comillas (solo o doble) y suponga que funcionará; probablemente no .