为什么要显示<! - ? print $ _POST ['domain']; ? - >而不是空文本字段

时间:2012-08-16 07:02:39

标签: php

我有这个输入字段,它是whois搜索脚本的一部分。

<input type="text" name="domain" value="<? print $_POST['domain']; ?>" />

在表单上,​​它不显示空文本字段,而是显示<? print $_POST['domain']; ?>

有人可以告诉我这里发生了什么吗?

提前完成。

1 个答案:

答案 0 :(得分:3)

<? print $_POST['domain']; ?>

更改为

<?php print $_POST['domain']; ?>

请考虑这种输出方式是不安全的,如果有人可以更改变量,那么它就是潜在的XSS威胁。

为防止这种使用:

<?php print htmlspecialchars($_POST['domain']); ?>