Các cuộc thảo luận cho đến nay chủ yếu là về việc bảo vệ khỏi SQL Injection và tập lệnh liên tục trên nhiều trang web. Có vẻ như bạn đang đi đúng hướng.
- Việc bạn sử dụng các câu lệnh đã chuẩn bị là "phương pháp hay nhất" để chống lại việc đưa vào SQL.
- htmlspecialchars () là một khởi đầu tốt để ngăn chặn XSS, nhưng bạn phải thoát dữ liệu trong lược đồ mã hóa phù hợp với nơi bạn đang xuất dữ liệu. OWASP có một trang toàn diện thảo luận về vấn đề này: XSS (Cross Site Scripting) Phòng chống gian lận Trang tính
. Câu trả lời ngắn gọn:Đảm bảo bạn đang sử dụng "
the escape syntax for the part of the HTML document you're putting untrusted data into."
