使用 htmlspecialchars($_POST['firstname']) 和 htmlspecialchars($_POST['content'])代码>.

在向用户显示字符串之前，始终使用 htmlspecialchars() 对字符串进行转义.

Always escape strings with htmlspecialchars() before showing them to the user.