我是新手,只是为了清楚.我听到很多关于逃避数据以防止XSS攻击的事情.我该怎么做呢？

这就是我目前正在做的事情 –

$s = mysqli_real_escape_string($connect,$_POST['name']));

这够了吗？谢谢

解决方法:

如果您将数据输出到html,您应该使用htmlspecialchars()
否则,如果您将数据存储在数据库中,则应使用mysqli_real_escape_string()转换字符串并转换数字(或使用两者的预处理语句)
并通过基于白名单的过滤方式保护标识符/操作符.

如果以正确的方式使用它们,这些方法都是您所需要的.