為了預防sql injection 通常不是用htmlspecialchars 就是使用mysql_escape_string
可是mysql_escape_string會有語系上得問題,htmlspecialchars似乎是比較好的選擇
不過存入後要取出
可能會有些意外,例如& # 174 ;這種特殊符號上了網頁 還是只有原來的& # 174 ;
更慘的是如果是存入meta標籤,會直接類似-&gt的符號…變成字串顯示而不是標籤了
如果使用htmlspecialchars 但是又要顯示html標籤
記得一定要使用htmlspecialchars_decode讓他回復正常….