Khi tôi sử dụng PHP để đặt giá trị của phần tử nhập biểu mẫu HTML, nó hoạt động tốt với điều kiện tôi không có bất kỳ dấu cách nào trong dữ liệu.Cách đặt thuộc tính giá trị HTML (có dấu cách)
<input type="text" name="username"
<?php echo (isset($_POST['username'])) ? "value = ".$_POST["username"] : "value = \"\""; ?> />
Nếu tôi nhập "Jonathan" làm tên người dùng, nó được lặp lại với tôi như mong đợi. Tuy nhiên, nếu tôi nhập "Big Ted", tôi chỉ nhận được "Big" lặp lại khi tôi gửi biểu mẫu.
Lưu ý rằng biến số $_POST["Username"]
là chính xác; khi tôi echo nó bằng cách sử dụng PHP, nó được thiết lập để "Big Ted".
XSS không có gì để làm ở đây. Mã hóa theo yêu cầu của tiêu chuẩn. Ngay cả khi bạn chỉnh sửa HTML đầy đủ trong miền quản trị, bạn phải nhập các giá trị htmlencode, bao gồm cả nội dung văn bản. –
@Col: tôi đã nói rằng XSS liên quan đến vấn đề cụ thể ở đâu? :) – BalusC
ah vâng tôi đã bỏ qua nó. Tập trung vào từ khóa, bạn biết :) –