Diskussionen har hidtil handlet om beskyttelse mod SQL Injection og persistent cross site scripting. Det lyder som om du er på rette vej.
- Din brug af forberedte udsagn er en "bedste praksis" til at bekæmpe SQL-injektion.
- htmlspecialchars() er en god start for at forhindre XSS, men du skal undslippe data i det kodningsskema, der passer til det sted, hvor du udsender data. OWASP har en omfattende side, der diskuterer dette:XSS (Cross Site Scripting) Prevention Cheat Ark
. Det korte svar:Sørg for, at du bruger "
the escape syntax for the part of the HTML document you're putting untrusted data into."