我需要将数据存储在mysql表中,然后将其输出给用户。
我正在颂扬“名字”和“评论”
在名称上使用strip_tags和trim,然后使用stmt prepare / bind_param存储它。
在“评论”中使用nl2br / htmlspecialchars然后用stmt prepare / bind_param存储它, 因为用户必须能够输入/ linebreak。
这足以保护我免受XSS / SQL注入吗?
由于
答案 0 :(得分:-1)
strip_tags hmmm .. look on other question
此外,您正在更改用户输入,我认为最好显示完整输入(安全)
htmlentities($str, ENT_QUOTES, "UTF-8");