Meilleure pratique pour la sortie PHP

Question

Je me demandais, quelle est la meilleure pratique sur l'exemple ci-dessous.

<?php 

if(isset($_POST['query'])){ 
    $out = $_POST['query']; 
} 

?> 
<div><?php echo $out; ?></div> 
<input type="text" value="<?php echo $out; ?>" /> 

En utilisant le code ci-dessus serait-ce une menace pour le site Web. Ou aurais-je besoin de préparer la sortie avant de l'utiliser comme ci-dessus. Par préparer, je veux dire l'encoder ou échapper à des caractères spéciaux. Je suis conscient que vous avez besoin de l'échapper et de valider les entrées pour l'utilisation db, que diriez-vous de le sortir?

Answer 1

Oui, puisque vous mettez dehors en HTML utiliser encoder les caractères spéciaux de HTML de façon appropriée avec htmlspecialchars:

if (isset($_POST['query'])) { 
    $out = htmlspecialchars($_POST['query']); 
} 

En outre, $out est défini uniquement lorsqu'il existe $_POST['query']; vous devriez penser à avoir une valeur par défaut si $_POST['query'] n'existe pas. Parce que sinon, lorsque register globals sont activés (cela seul est une mauvaise idée), vous pouvez définir cette variable via la chaîne de requête d'URL avec ?out=….

Answer 2

Oui, vous devez utiliser la fonction php htmlspecialchars http://php.net/manual/en/function.htmlspecialchars.php

également, voir cette (réponse acceptée)

Do htmlspecialchars and mysql_real_escape_string keep my PHP code safe from injection?

Answer 3

ne savent pas sur les meilleures pratiques et qui dépendent du codeur j'aime turnary

echo (isset($_POST['query']))? htmlspecialchars($_POST['query']):"";