这是我第一次参与这个很棒的网站,所以我希望能得到第一个很好的回答我的问题。我正在使用以下代码将数据插入 MySQL 数据库:
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form2"))
{
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', htmlspecialchars($_POST['name']), PDO::PARAM_STR);
$q->bindValue(':address', htmlspecialchars($_POST['address']), PDO::PARAM_STR);
$q->execute();
}
插入是否足够安全?我应该在插入时使用 htmlspecialchars() 还是在显示数据时使用?
亲切的问候