Die bisherige Diskussion drehte sich um den Schutz vor SQL-Injection und Persistent Cross Site Scripting. Es hört sich so an, als wären Sie auf dem richtigen Weg.
- Ihre Verwendung von vorbereiteten Anweisungen ist eine "Best Practice" zur Bekämpfung von SQL-Injection.
- htmlspecialchars() ist ein guter Anfang, um XSS zu verhindern, aber Sie müssen Daten in dem Kodierungsschema maskieren, das für die Stelle geeignet ist, an der Sie Daten ausgeben. OWASP hat eine umfassende Seite, die dies bespricht:XSS (Cross Site Scripting) Prevention Cheat Blatt
. Die kurze Antwort:Stellen Sie sicher, dass Sie "
the escape syntax for the part of the HTML document you're putting untrusted data into.
"