Я понимаю, что вы НИКОГДА не должны доверять пользовательскому вводу из формы, в основном из-за вероятности внедрения SQL-кода.

Однако относится ли это также к форме, в которой единственным вводом являются выпадающие списки (см. Ниже)?

Я спасаю$_POST['size'] для сеанса, который затем используется по всему сайту для запроса различных баз данных (сmysqli Выберите запрос), и любая SQL-инъекция может нанести им вред (возможно, отбросить).

Для ввода данных в базу данных нет области для ввода данных пользователем, только раскрывающиеся списк

<form action="welcome.php" method="post">
<select name="size">
  <option value="All">Select Size</option> 
  <option value="Large">Large</option>
  <option value="Medium">Medium</option>
  <option value="Small">Small</option>
</select>
<input type="submit">
</form>