Question

我有一个网站从数据库获取数据并创建指向下一页的链接

链接页面需要page_id，它会在网址栏上显示标题

<a href=example.php?page=2&title=foo">click</a>

网址将显示：

example.php?page=2&title=foo

page_id只是数字，但标题可以是任何内容。

我的问题是：

Answer 1

你应该使用：

urlencode对查询参数进行编码，
htmlspecialchars用于转义用户在html
将参数绑定到sql语句以避免sql注入
（http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php）

Answer 2

浏览器不应该（至少IE11不会）在onclick属性中执行javascript。