str mysqli_real_escape_string mysql_real_escape_string escape_string escapar ejemplo cadena php html forms xss

mysqli_real_escape_string - ¿Cómo escaparse correctamente de los valores predeterminados de entrada de la forma html en php?



php escapar cadena (3)

Sin embargo, htmlspecialchars () no lo ayudará con value=''single quotes''

Esto es lo que pasa:

value=''We''re not using this in our "code"...''

Todo lo que ves es We

Teniendo en cuenta los siguientes dos fragmentos de html / php:

<input type="text" name="firstname" value="<?php echo $_POST[''firstname'']; ?>" />

y

<textarea name="content"><?php echo $_POST[''content'']; ?></textarea>

¿Qué codificación de caracteres necesito usar para las variables $_POST repetidas? ¿Puedo usar cualquier función PHP incorporada? Por favor, suponga que los valores $_POST todavía no han sido codificados. Ninguna magia cita nada.

Use htmlspecialchars($_POST[''firstname'']) y htmlspecialchars($_POST[''content'']) .

Siempre escapa de las cadenas con htmlspecialchars() antes de mostrárselas al usuario.

htmlspecialchars funcionaría en ambos casos. Eche un vistazo a las diferentes opciones de indicador para evitar que las comillas sean un problema en el caso de input .