如何在PHP中正确转义HTML表单输入默认值？

php html forms xss

2022-08-30 08:52:17

给定以下两个 HTML/PHP 代码段：

<input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" />

和

<textarea name="content"><?php echo $_POST['content']; ?></textarea>

我需要对回显变量使用什么字符编码？我可以使用任何内置的PHP函数吗？$_POST

请假设这些值尚未编码。没有魔术报价 - 没有。$_POST

答案 1

使用和。htmlspecialchars($_POST['firstname'])htmlspecialchars($_POST['content'])

在向用户显示字符串之前，始终使用 htmlspecialchars（） 对字符串进行转义。

答案 2

htmlspecialchars在这两种情况下都有效。查看不同的标志选项，以避免引号在这种情况下成为问题。input

推荐

php java encryption
相当于Java中PHP的crypt函数我正在将我的PHP代码迁移到Google App Engine - Java。因此，我需要一个相当于Java中PHP的crypt函数，因为我已将使用crypt的注册用户的所有密码存储在我的数据库中。编辑1：这是我用于加密密码的php�
php java c# .net
需要有关如何从接受语言请求标头获取首选语言的示例我需要一个代码示例或库来解析标头并返回我的首选语言。指出： “接受语言请求标头”字段类似于“接受”，但限制首选作为请求响应的自然语言集。语言标记在第 3.10 节中定义。 �
php java encryption aes
无法在 Java 和 PHP 之间交换使用 AES-256 加密的数据我的问题是：我在Java中加密的东西，我可以在Java中完全解密，但PHP不能解密。我用加密的内容可以使用解密，但不能在 Java 中解密。我想从Java应用程序发送和接收加密数据到PHP页面，所以我�
php javascript android java
直播主题对于那些有兴趣从您的设备到Web服务器的直播的人来说，这可能是一个非常有趣的话题。（主要安卓/Java）我终于找到了一种方法，如何将视频从设备的摄像头直播到我的网络服务器（网站）。�
php java quercus
Quercus是Java环境中PHP的可行替代品吗？对于任何偶然发现这个问题的人，他们不知道是什么 - 它是用Java完成的PHP的实现。对于我目前正在从事的项目，我们通过cgi在servlet上提供php页面（我知道它很笨拙，但这是支持遗留代码的要求