Jusqu'à présent, la discussion a porté sur la protection contre l'injection SQL et les scripts intersites persistants. Il semble que vous soyez sur la bonne voie.
- Votre utilisation d'instructions préparées est une "bonne pratique" pour lutter contre l'injection SQL.
- htmlspecialchars() est un bon début pour empêcher XSS, mais vous devez échapper les données dans le schéma d'encodage approprié à l'endroit où vous produisez les données. OWASP a une page complète qui en parle :XSS (Cross Site Scripting) Prevention Cheat Feuille
. La réponse courte :assurez-vous d'utiliser "
the escape syntax for the part of the HTML document you're putting untrusted data into.
"