我希望我的用户能够使用Markdown进行评论并避免使用XSS。如何使用Markdown和MySQL?
什么是正确的动作顺序?
这是我的它是如何工作的理解:
user input via HTML form using Markdown syntax
$Input = markdown(mysql_real_escape_string($_POST['userInput']));
insert $input into database
然后,我需要同时使用用htmlspecialchars?
'markdown'是做什么用的?为什么在存储数据之前运行它? – PeeHaa 2013-05-06 11:22:22
你正在使用'mysql_query',不是吗? – tadman 2013-05-06 11:22:22
[**请不要在新代码中使用'mysql_ *'函数**](http://bit.ly/phpmsql)。他们不再被维护[并被正式弃用](https://wiki.php.net/rfc/mysql_deprecation)。看到[**红框**](http://j.mp/Te9zIL)?学习[*准备的语句*](http://j.mp/T9hLWi),并使用[PDO](http://php.net/pdo)或[MySQLi](http://php.net/ mysqli) - [这篇文章](http://j.mp/QEx8IB)将帮助你决定哪个。如果你选择PDO,[这里是一个很好的教程](http://www.brightmeup.info/article.php?a_id=2)。 – 2013-05-06 11:27:02