【发布时间】:2010-07-23 11:33:58
【问题描述】:
我有一个像这样的 php 变量..$name = $_REQUEST['name']; 我想把它放在 HTML 表单字段的值中,例如在这里..<input type="text" name="name" value=(php variable here) />
我该怎么做?
谢谢。
【问题讨论】:
【发布时间】:2010-07-23 11:33:58
【问题描述】:
value="<?php echo htmlspecialchars($name); ?>"
【讨论】:
你可以这样做,
<input type="text" name="name" value="<?php echo $name;?>" />
但鉴于您直接从用户输入中获取,您希望先对其进行清理,以免在您的页面输出中添加任何讨厌的内容。
<input type="text" name="name" value="<?php echo htmlspecialchars($name);?>" />
【讨论】:
-
不推荐使用短标签,这打开了一个可爱的 XSS 世界(因为 $name 在问题中提供的代码中明确表示为用户生成的内容)
-
谢谢,我在回答后注意到了消毒,并且在您发布此评论时已经在更新;)尽管在您发表评论后,我已经更新了我的答案以删除短标签。我知道它们已被弃用,但我仍然使用它们,所以以这种方式输入它只是自动的。
-
没有正确消毒。仍然允许使用引号,并且您没有设置字符集。