遇到 htmlspecialchars 问题，正确的放置位置在哪里？

Question

$stmt = $conn->prepare("INSERT INTO chatbox (username, message)
    VALUES (:username, :message)");
    $stmt->bindParam(':username', $username);
   $stmt->bindParam(':message', $message);

    $username = $_POST['username'];
    $message = $_POST['message'];
    $stmt->execute();
    ?>

在这种情况下我应该把 htmlspecialchars() 放在哪里，请帮帮我？

Answer 1

这里没有。始终尝试将“原始”（见下文我所说的“原始”）数据放入您的数据库中。仅当您想显示数据库中的数据时才使用 htmlspecialchars。

"raw" as in 对数据库进行了清理和安全处理，但没有以某种格式（例如 HTML）的方式被触及

//编辑：
因此，为了正确使用 htmlspecialchars，假设您在从数据库接收到该消息后回显该消息：

echo htmlspecialchars($message);