Do tej pory dyskusja dotyczyła ochrony przed wstrzyknięciem SQL i trwałym skryptem krzyżowym. Wygląda na to, że jesteś na dobrej drodze.
- Używanie przygotowanych instrukcji jest „najlepszą praktyką” w zwalczaniu wstrzykiwania SQL.
- htmlspecialchars() to dobry początek zapobiegania XSS, ale musisz uciec przed danymi w schemacie kodowania, który jest odpowiedni dla miejsca, w którym są wysyłane dane. OWASP ma obszerną stronę, która to omawia:XSS (Cross Site Scripting) Zapobieganie oszustwom Arkusz
. Krótka odpowiedź:Upewnij się, że używasz „
the escape syntax for the part of the HTML document you're putting untrusted data into.”
