Diskusi sejauh ini adalah tentang melindungi dari SQL Injection dan skrip lintas situs yang Persisten. Sepertinya Anda berada di jalur yang benar.
- Penggunaan pernyataan yang Anda siapkan adalah "praktik terbaik" untuk memerangi injeksi SQL.
- htmlspecialchars() adalah awal yang baik untuk mencegah XSS, tetapi Anda harus menghindari data dalam skema pengkodean yang sesuai dengan tempat Anda mengeluarkan data. OWASP memiliki halaman komprehensif yang membahas hal ini:Cheat Pencegahan XSS (Cross Site Scripting) Lembar
. Jawaban singkatnya:Pastikan Anda menggunakan "
the escape syntax for the part of the HTML document you're putting untrusted data into."
