Дискусията досега беше за защита от SQL инжектиране и постоянно междусайтово скриптиране. Изглежда, че сте на прав път.
- Използването на подготвени изрази е „най-добра практика“ за борба с SQL инжектирането.
- htmlspecialchars() е добро начало за предотвратяване на XSS, но трябва да екранирате данните в схемата за кодиране, която е подходяща за мястото, където извеждате данни. OWASP има изчерпателна страница, която обсъжда това:XSS (Cross Site Scripting) Prevention Cheat Лист
. Краткият отговор:Уверете се, че използвате „
the escape syntax for the part of the HTML document you're putting untrusted data into.
"