遇到问题htmlspecialchars,放在哪里的正确位置?

时间:2017-03-11 22:14:08

标签: php html pdo

$stmt = $conn->prepare("INSERT INTO chatbox (username, message)
    VALUES (:username, :message)");
    $stmt->bindParam(':username', $username);
   $stmt->bindParam(':message', $message);

    $username = $_POST['username'];
    $message = $_POST['message'];
    $stmt->execute();
    ?>

在这种情况下我会把htmlspecialchars()放在哪里,请帮助我?

1 个答案:

答案 0 :(得分:3)

无处可去。总是尝试将“原始”(请参阅​​下面的“原始”)数据放入数据库。当您想要显示数据库中的数据时,只能使用htmlspecialchars。

“原始”,如已清理且对数据库安全,但未触及某种格式(例如HTML)

//编辑:
因此,为了正确使用htmlspecialchars,假设您在从数据库接收到该消息之后回显该消息:

echo htmlspecialchars($message);