Dosud se diskutovalo o ochraně před SQL Injection a Persistent cross site scripting. Zdá se, že jste na správné cestě.
- Vaše použití připravených příkazů je "nejlepším postupem" v boji proti vkládání SQL.
- htmlspecialchars() je dobrý začátek, jak zabránit XSS, ale musíte data escapovat v kódovacím schématu, které je vhodné pro výstup dat. OWASP má obsáhlou stránku, která o tom pojednává:Cheat na prevenci XSS (Cross Site Scripting) List
. Krátká odpověď:Ujistěte se, že používáte "
the escape syntax for the part of the HTML document you're putting untrusted data into."
."