Моим пользователям разрешено вставлять что угодно в мою базу данных.
Таким образом, использование белого / черного списка символов не вариант.
Я беспокоюсь не о конце базы данных (SQL-инъекция), а о внедрении кода в мои страницы.
Существуют ли ситуации, когда htmlspecialchars ()
недостаточно для предотвращения внедрения кода?