0

这是我的 php 代码:

//Code for fetching content (view-me.php)
<?php
include('connect.php');
$head_title=$_GET['title'];
//echo $head_title;
$head_title=$mysqli->real_escape_string($head_title);
//echo $head_title;
$query="select title,content,pub_date from news where title='$head_title'";
$result=$mysqli->query($query);
if($result){
    while(list($title,$content,$date)=$result->fetch_row())
    {
        echo '<div id="post_my_head">';
        echo "<h1>".$title."</h1></div><br />";
        echo '<div id="posted_date_time">'.$date.'</div>';
        echo '<div id="post_my_content"><p>'.$content.'</p></div>';

    }


    $mysqli->close();
}
else
    {
        echo "Query failed";
    }

?>

//Code for printing content:(news.php)
function print_content()
{
    include('connect.php');
    $query="select title,content,url,pub_date from news order by pub_date desc";
    $result=$mysqli->query($query);
    while(list($title,$content,$url,$date)=$result->fetch_row())
    {
        echo '<div id="post_my_head">';
        echo "<h1><a href='view-me.php?title=".addslashes($title)."' id='my_post_link'>".$title."</a></h1></div><br />";
        //$new_title=str_replace(" ","-",$title);
        //echo "localhost/".$new_title."/";
        echo '<div id="posted_date_time">Published:'.$date.'</div><br /><br />';
        echo '<div id="post_my_content"><p>'.$content.'</p></div>';
    }
    $mysqli->close();
}
print_content();

它适用于大多数查询。当 $head_title 有单引号或双引号时它会失败。我尝试在 news.php 中使用添加斜杠,但它不起作用。

当 $head_title 类似于“America's Freedom”时,代码将失败。在这种情况下,$title 变为“America”,字符串的其余部分会自动截断。因此 url 变为类似于“localhost/?title=America”而不是“localhost?title=America's Freedom”。mysql 中使用的数据类型是文本。该代码适用于所有没有单引号或双引号的查询。

4

3 回答 3

1

你可以使用urlencode()和 urldecode 来解决这个问题

于 2012-10-03T09:56:22.883 回答
1

对于 URL,对值进行 URL 编码。为了将该编码的 URL 放入 HTML,HTML 将其转义到顶部:

printf('<h1><a href="view-me.php?title=%s" id="my_post_link">%s</a></h1>',
       htmlspecialchars(urlencode($title)),
       htmlspecialchars($title));

请参阅伟大的逃避现实(或:使用文本中的文本需要知道的内容)

于 2012-10-03T09:58:09.427 回答
0 
<?php
$str = "Jane & 'Tarzan'";
echo htmlentities($str, ENT_COMPAT);
echo "<br />";
echo htmlentities($str, ENT_QUOTES);
echo "<br />";
echo htmlentities($str);
?>

尝试 htmlentities

于 2012-10-03T09:55:52.387 回答