引用它。否则,空格将变成属性分隔符,空格之后的所有内容都将被视为元素属性。右键单击Web浏览器中的页面并查看源代码。它看起来应该不是这样(另请参见语法突出显示颜色):
<input value=Big Ted>
而是这个
<input value="Big Ted">
更不用说当某人的名字中带有引号时,这仍然会中断(因此您的代码对XSS
攻击很敏感)。使用
htmlspecialchars()。
开球示例:
<input value="<?php echo (isset($_POST['username']) ? htmlspecialchars($_POST['username']) : ''); ?>">
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)