htmlspecialchars неправильно использовать?

Question

Эй, ребята, посмотрел на php документы и погуглил, но без радости. Это мой фрагмент кода, htmlspecialchars, похоже, не работает, его неправильно используют?

$query="SELECT * FROM likes";
$result=mysql_query($query);

$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];

$query = "INSERT INTO likes VALUES ('','$name','$liked')";

спасибо, ребята, Джеймс

Answer 1

Вы перезаписываете его с $_POST['liked'] в следующей следующей строке. Переключите две линии. Или просто передайте переменную POST непосредственно в функцию:

$liked=htmlspecialchars($_POST['liked'], ENT_QUOTES);

В любом случае вы должны использовать mysql_real_escape_string() для экранирования параметров SQL-запроса. Сохранить HTML экранирует только тогда, когда вы собираетесь отображать данные.