De discussie tot nu toe ging over bescherming tegen SQL-injectie en aanhoudende cross-site scripting. Het klinkt alsof je op de goede weg bent.
- Uw gebruik van voorbereide instructies is een "best practice" om SQL-injectie te bestrijden.
- htmlspecialchars() is een goed begin om XSS te voorkomen, maar u moet gegevens escapen in het coderingsschema dat geschikt is voor waar u gegevens uitvoert. OWASP heeft een uitgebreide pagina die dit bespreekt:XSS (Cross Site Scripting) Prevention Cheat Blad
. Het korte antwoord:zorg ervoor dat u "
the escape syntax for the part of the HTML document you're putting untrusted data into."