引用它。否则,空格将变成属性分隔符,空格之后的所有内容都将被视为元素属性。右键单击Web浏览器中的页面并查看源代码。它不应看起来像这样(另请参见语法突出显示颜色):
<input value=Big Ted>
而是这个
<input value="Big Ted">
更不用说当有人用引号引起来时,这仍然会中断(因此您的代码对XSS 攻击很敏感)。使用
htmlspecialchars()。
Kickoff example:
<input value="<?php echo (isset($_POST['username']) ? htmlspecialchars($_POST['username']) : ''); ?>">
