0

我有这个输入字段,它是 whois 搜索脚本的一部分。

<input type="text" name="domain" value="<? print $_POST['domain']; ?>" />

在表单上,​​它不是显示空文本字段,而是显示<? print $_POST['domain']; ?>.

有人可以告诉我这里发生了什么吗?

提前谢谢。

4

1 回答 1

3 
<? print $_POST['domain']; ?>

改成

<?php print $_POST['domain']; ?>

请考虑这种输出方式是不安全的,如果有人可以更改变量,那么它就是潜在的 XSS 威胁。

为了防止这种使用:

<?php print htmlspecialchars($_POST['domain']); ?>
于 2012-08-16T07:07:56.517 回答