当我使用 PHP 设置 HTML 表单输入元素的值时,只要数据中没有任何空格,它就可以正常工作。
<input type="text" name="username"
<?php echo (isset($_POST['username'])) ? "value = ".$_POST["username"] : "value = \"\""; ?> />
如果我输入“Jonathan”作为用户名,它会按预期重复给我。但是,如果我输入“Big Ted”,我只会在提交表单时重复出现“Big”。
注意$_POST["Username"]变量是正确的;当我使用 PHP 回显它时,它被设置为“Big Ted”。
【问题讨论】:
引用它。否则空格将成为属性分隔符,空格之后的所有内容都将被视为元素属性。在网络浏览器中右键单击页面并查看源代码。它不应该是这样的(另见语法高亮颜色):
<input value=Big Ted>
而是这个
<input value="Big Ted">
更不用说当某人的名字中有引号时这仍然会中断(因此您的代码对XSSattacks很敏感)。使用htmlspecialchars()。
启动示例:
<input value="<?php echo (isset($_POST['username']) ? htmlspecialchars($_POST['username']) : ''); ?>">
【讨论】:
<input type="text" name="username"
<?php echo (isset($_POST['username'])) ? "value = '".$_POST["username"]' : "value = ''"; ?> />
你必须用引号包裹变量结果,这样浏览器才能知道输入的内容是什么。
【讨论】:
正如您所见,它根本不是 PHP5 甚至 PHP 问题。
想要成为 PHP 用户的人必须具备基本的 HTML 知识。
使用模板看起来更整洁:
获取数据部分代码:
$username = "";
if isset($_POST['username'])) $username = htmlspecialchars($_POST["username"]);
以及模板代码:
<input type="text" name="username" value="<?=$username?>">
如果您将代码分成两部分,它会变得更易于支持和可读。
【讨论】:
只需确保在字段后面加上冒号即可:
<option value="'.$row['name'].'">
【讨论】:
<input type="text" name="username"
<?php echo (isset($_POST['username'])) ? ('value = "'.$_POST["username"].'"') : "value = \"\""; ?> />
注意您的报价使用情况。
【讨论】:
使用引号并且它有效。 另一方面,需要使用以下内容:
$param=preg_replace('/[^A-Za-z0-9 ]/','', $param);
【讨论】: