0
Wenn ich htmlspecialchars verwende, um auszugeben, was der Benutzer möglicherweise bereits in einem Formular eingegeben hat, macht es für mich Sinn htmlspecialchars_decode diese Werte, bevor sie in einer PDO-Anweisung gebunden sind?Sonderzeichen vor der PDO-Eingabe dekodieren?
Zum Beispiel lassen Sie uns sagen, dass ich ein Formular-Element wie dieses:
<input type="text" name="first_name" value="<?php echo trim(htmlspecialchars('first_name', ENT_QUOTES)); ?>">
Sollte ich dann den folgenden Code verwenden, bevor die Werte in der PDO Abfragebindung:
$first_name = trim(htmlspecialchars_decode($_POST['first_name']));
$stm->bindParam(':first_name', $first_name);
Oder ist das Overkill?