在插入PDO之前解码特殊字符?

时间:2016-07-21 23:00:37

标签: php pdo decode htmlspecialchars

如果我使用htmlspecialchars输出用户可能已在表单中输入的内容,那么在将这些值绑定到PDO语句之前htmlspecialchars_decode这些值是否合理?

例如,让我们说我有一个这样的表单元素:

<input type="text" name="first_name" value="<?php echo trim(htmlspecialchars('first_name', ENT_QUOTES)); ?>">

在绑定PDO查询中的值之前,我是否应该使用以下代码:

$first_name = trim(htmlspecialchars_decode($_POST['first_name']));
$stm->bindParam(':first_name', $first_name);

或者这是否过度?

1 个答案:

答案 0 :(得分:0)

您可以先使用某些值替换文本框中输入的文本 str_replace('@',' - ',$ str)等等。