Diskussionen hittills har handlat om att skydda mot SQL Injection och Persistent cross site scripting. Det låter som att du är på rätt spår.
- Din användning av förberedda uttalanden är en "bästa praxis" för att bekämpa SQL-injektion.
- htmlspecialchars() är en bra början för att förhindra XSS, men du måste undvika data i det kodningsschema som är lämpligt för var du matar ut data. OWASP har en omfattande sida som diskuterar detta:XSS (Cross Site Scripting) Prevention Cheat Blad
. Det korta svaret:Se till att du använder "
the escape syntax for the part of the HTML document you're putting untrusted data into.
"