Peter Brodersen skrev:
>
> Det kan stadigvæk afhænge lidt af hvordan, du laver dine input-felter.
> Hvis du fx laver dem med:
>
> print "<input type='text' name='navn' value='$navn'>";
>
> ... så kan folk godt snyde sig ud af dem, idet htmlentities() ikke
> behandler pling-tegnet: '
I både htmlspecialchars() og htmlentities() kan man godt lave
"pling-tegnet" (også kaldet en apostrof) om til "'", hvis man
bruger konstanten ENT_QUOTES som andet argument:
echo "<input type='text' name='navn' value='".htmlspecialchars($navn,
ENT_QUOTES)."'/>\n";
http://dk.php.net/manual/en/function.htmlspecialchars.php