Как правильно экранировать html формы ввода значений по умолчанию в php?
Учитывая следующие два фрагмента HTML / PHP:
<input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" />
а также
<textarea name="content"><?php echo $_POST['content']; ?></textarea>
какую кодировку символов мне нужно использовать для отображения $_POST переменные? Могу ли я использовать любые встроенные функции PHP? Пожалуйста, предположите, что $_POST значения еще не были закодированы. Никаких волшебных кавычек нет ничего.
4 ответа
Использование htmlspecialchars($_POST['firstname']) а также htmlspecialchars($_POST['content']),
Всегда избегать строк с htmlspecialchars() прежде чем показывать их пользователю.
Однако, htmlspecialchars() не поможет вам value='single quotes'
Вот что происходит:
value='We're not using this in our "code"...'
Все, что вы видите, это We
htmlspecialchars будет работать в обоих случаях. Посмотрите на различные варианты флагов, чтобы избежать кавычек, являющихся проблемой в input дело.
Учитывая, что это довольно долго, я бы поместил это в функцию
<?PHP
function encodeValue ($s) {
return htmlentities($s, ENT_COMPAT|ENT_QUOTES,'ISO-8859-1', true);
}
?>
Он имеет ENT_QUOTES, чтобы обеспечить кодирование одинарных и двойных кавычек, но он также будет кодировать специальные символы (как в Хосе) вместо вставки пустой строки.
Тогда вы можете сделать:
<input type="text" name="firstname" value="<?= encodeValue($_POST['firstname']) ?>" />
а также
<textarea name="content"><?= encodeValue($_POST['content']) ?></textarea>
Я часто использую
<input type="text" name="firstname" value=<?php echo json_encode($_POST['firstname']); ?>/>