简单的Php Echo

https://stackoverflow.com/questions/1418953

07-07-2019
|

题

我刚开始学习php，如何在推送提交按钮后启动echo语句，甚至是锚标记。

到目前为止，这是我的代码

form name="myform" method="get" actions="madlib01.php"

 Name: <input type="text" name="name" /> <br />


     <input type="submit" name="submit" />

形式

<?php

$Name = $_GET['name'];

$hello .= "Hello $Name";

echo $hello  //I would prefer the echo to happen after the submit button is hit

?>

解决方案

表单标记的正确属性是<！> quot; action <！> quot;，而不是<！> quot; actions <！> quot;

提交表单后，会向服务器发送一个新请求（在您的情况下，使用GET）。

所以要在一个页面中完成所有操作：

form.php：

<form action="form.php" method="GET">
<input type="text" name="name"/>
<input type="submit">
</form>

<?PHP
if (! empty($_GET['name'])){
   echo 'Hello, ' . $_GET['name'];
}
?>

其他提示

您首先需要使用 isset 或<来检查PHP是否已收到您的GET参数a href =“http://www.php.net/array_key_exists”rel =“nofollow noreferrer”> array_key_exists ：

if(isset($_GET['name']) && !empty($_GET['name'])) {
    $Name = $_GET['name'];
    echo "Hello $Name";
}

或：

if(array_key_exists('name', $_GET) && !empty($_GET['name'])) {
    $Name = $_GET['name'];
    echo "Hello $Name";
} else {
    //example: default to something if nothing has been passed
    echo "Hello Guest";
}

另请注意，如果您要提交到同一页面，则可以完全忽略表单标记中的action属性：

<form method="GET">

echo $ hello

您刚刚获得了HTML注入漏洞。如果有人将您的用户发送到：

http://www.example.com/madlib01.php?name=<script>stealYourCookies()</script>

你有问题。

是的，这是我的第一个PHP脚本。这不会使安全性成为可选。这是每个教程都犯的一个错误：从一开始就教导不良练习，将正确性（和安全性，这是正确性的一个子集）视为可选的附加内容。

结果是大多数PHP代码都存在漏洞。但是你没有必要这样做！每次将纯文本字符串放入周围的HTML上下文时，都要正确转义它：

echo htmlspecialchars($hello);

我倾向于定义一个名称比<！>＃8216更短的函数; htmlspecialchars <！>＃8217;为我这样做，因为我很懒。

<?php
    function h($text) {
        echo(htmlspecialchars($text, ENT_QUOTES));
    }
    $name= '';
    if (isset($_REQUEST['name']))
        $name= trim($_REQUEST['name']);
?>

...

<?php if ($name!=='') { ?>
    <p> Hello, <?php h($name); ?>! </p>
<?php } ?>

<form method="get" action="madlib01.php">
    <p>
        <label for="namefield">Name:</label>
        <input id="namefield" type="text" name="name" />
    </p>
    <p>
        <input type="submit" />
    </p>
</form>

现在，如果你说你的名字是Mister <！> lt; script <！> gt;，页面将完全如此，尖括号和全部问候，而不是试图运行JavaScript。这是正确的输出，因此也是安全的。

许可以下： CC-BY-SA 和归因

不隶属于 StackOverflow