Finora la discussione riguardava la protezione da SQL Injection e Persistent cross site scripting. Sembra che tu sia sulla strada giusta.
- L'uso delle istruzioni preparate è una "migliore pratica" per combattere l'iniezione di SQL.
- htmlspecialchars() è un buon inizio per prevenire XSS, ma devi sfuggire ai dati nello schema di codifica appropriato per dove stai emettendo i dati. OWASP ha una pagina completa che ne discute:XSS (Cross Site Scripting) Trucchi per la prevenzione Foglio
. La risposta breve:assicurati di utilizzare "
the escape syntax for the part of the HTML document you're putting untrusted data into."
