我觉得这是如此基本,以前必须得到回答,但我无法找到它。无论如何原谅我的新手。我有我的项目,我正在验证输入和输出。我正在使用PDO,所以SQL注入,我理解,不应该是一个问题。但是我如何处理可能的恶意HTML。我的一些字段可能合理地包含HTML,因为项目围绕课程和课程大纲可能包含课程内容的示例。如果它是关于HTML的课程那么....我已经阅读过"早期清理输入并且输出较晚"而我想我真的需要做的就是编码<。这应该破坏输入和计划在输出上运行的任何脚本。但是当我在SQL中替换编码工作时,应该是太早了,当我在PHP中替换& lt + the;仍然运行javascript,如果它是一个脚本当然。我该怎么办?非常感谢期待。