$stmt = $conn->prepare("INSERT INTO chatbox (username, message)
VALUES (:username, :message)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':message', $message);
$username = $_POST['username'];
$message = $_POST['message'];
$stmt->execute();
?>
在这种情况下我会把htmlspecialchars()放在哪里,请帮助我?
答案 0 :(得分:3)
无处可去。总是尝试将“原始”(请参阅下面的“原始”)数据放入数据库。当您想要显示数据库中的数据时,只能使用htmlspecialchars。
“原始”,如已清理且对数据库安全,但未触及某种格式(例如HTML)
//编辑:
因此,为了正确使用htmlspecialchars,假设您在从数据库接收到该消息之后回显该消息:
echo htmlspecialchars($message);