这段代码安全吗?
$name = htmlspecialchars($mysqli->real_escape_string($_POST["name"]), ENT_QUOTES,"UTF-8");
或者我应该使用这个
$name = $mysqli->real_escape_string(htmlspecialchars($_POST["name"], ENT_QUOTES,"UTF-8"));
还是没关系? THX
答案 0 :(得分:1)
都不是。
在进行查询时保护您的数据库免受SQL注入 。在可能的情况下,执行with parameterized queries而不是手动转义。
在生成HTML 时保护您的HTML不受XSS 的影响。即将htmlspecialchars应用于数据库中 out 的数据,而不是您输入的数据。