Если я использую htmlspecialchars
, чтобы вывести то, что пользователь мог уже ввести в форму, имеет ли смысл для меня эти значения до их привязки в инструкции PDO?Декодировать специальные символы перед вставкой PDO?
Например, скажем, у меня есть элемент формы, как это:
<input type="text" name="first_name" value="<?php echo trim(htmlspecialchars('first_name', ENT_QUOTES)); ?>">
Должен ли я затем использовать следующий код перед привязкой значения в PDO запросе:
$first_name = trim(htmlspecialchars_decode($_POST['first_name']));
$stm->bindParam(':first_name', $first_name);
Или это Overkill?