标签: mysql security prepared-statement
我正在使用mysqli()的预处理语句;在我的网站上插入和检索数据我也使用bind_param所以我不直接在查询中添加变量。我使用strip_tags清理任何输入我应该注意什么?
答案 0 :(得分:0)
不要在数据库输入上使用strip_tags():在浏览器输出中使用htmlentites()(或适当的urlencode())。