Как правильно экранировать html формы ввода значений по умолчанию в php?

Question

Учитывая следующие два фрагмента html / php:

<input type="text" name="firstname" value="<?php echo $_POST['firstname']; ?>" />

и

<textarea name="content"><?php echo $_POST['content']; ?></textarea>

какую кодировку символов мне нужно использовать для отражаемых переменных $_POST?Могу ли я использовать любые встроенные функции PHP?Пожалуйста, предположим, что значения $_POST еще не были закодированы.Никаких магических кавычек нет ничего.

Answer 1

Используйте htmlspecialchars($_POST['firstname']) и htmlspecialchars($_POST['content']).

Всегда экранируйте строки с htmlspecialchars(), прежде чем показывать их пользователю.

Answer 2

htmlspecialchars будет работать в обоих случаях. Посмотрите на различные варианты флагов, чтобы избежать проблем с кавычками в случае input.

Answer 3

Учитывая, что это довольно долго, я бы поместил его в функцию

<?PHP
function encodeValue ($s) {
    return htmlentities($s, ENT_COMPAT|ENT_QUOTES,'ISO-8859-1', true); 
}
?>

Это имеет ENT_QUOTES , чтобы обеспечить кодирование одинарных и двойных кавычек, но это также кодировать специальные символы (как в Хосе) вместо вставки пустой строки.

Тогда вы можете сделать:

<input type="text" name="firstname" value="<?= encodeValue($_POST['firstname']) ?>" />

и

<textarea name="content"><?= encodeValue($_POST['content']) ?></textarea>

Answer 4

Я часто использую

<input type="text" name="firstname" value=<?php echo json_encode($_POST['firstname']); ?>/>