如果我使用htmlspecialchars
输出用户可能已在表单中输入的内容,那么在将这些值绑定到PDO语句之前htmlspecialchars_decode
这些值是否合理?
例如,让我们说我有一个这样的表单元素:
<input type="text" name="first_name" value="<?php echo trim(htmlspecialchars('first_name', ENT_QUOTES)); ?>">
在绑定PDO查询中的值之前,我是否应该使用以下代码:
$first_name = trim(htmlspecialchars_decode($_POST['first_name']));
$stm->bindParam(':first_name', $first_name);
或者这是否过度?
答案 0 :(得分:0)
您可以先使用某些值替换文本框中输入的文本 str_replace('@',' - ',$ str)等等。