Хорошо ли использовать htmlspecialchars () перед вставкой в MySQL?
Я немного запутался в этом. Я читал оhtmlspecialchars()
и я планирую использовать это для текстовыхPOST
предотвратить XSS-атаку. Я понимаю что обычноhtmlspecialchars()
используются для генерации вывода HTML, который отправляется в браузер. Но я не уверен, что это:
1) Это безопасная практика для использованияhtmlspecialchars()
пользователю вводить данные, прежде чем я вставлю их в MySQL? Я уже использую подготовленный PDO оператор с параметризованными значениями, чтобы предотвратить SQL-инъекцию.
2) Или мне действительно не нужно беспокоиться об использованииhtmlspecialchars()
для вставленных значений (при условии, что они параметризованы) и использовать толькоhtmlspecialchars()
когда я получу результаты из MySQL и покажу их пользователям?