Hej gruppe.
Jeg har en HTML form, med et par input felter.
Der er validering på formen, så hvis ikke alle felter er udfyldte
kommer der en advarsel. (ej Ajax, lavet med PHP).
I den forbindelse ville det jo være rart at vise hvad brugeren har
skrevet i de felter han nu engang har udfyldt, derfor er value sat
således:
value="<?php if($_POST) echo htmlspecialchars($_POST['username']);?>"
Men! Jeg kom så i tanke om følgende:
Lad os antage at brugeren udfylder feltet "username" med: Ras"mus" -
og han glemmer at udfylde et par andre felter. Så vil Ras"mus" jo
blive vist i feltet igen, til hans store glæde, så han ikke skal
udfylde det igen (eller gå tilbage i browseren).
Men, når nu han får udfyldt de resterende felter, så står der jo ikke
længere Ras"mus" i databasen, da anførselstegnene jo er blevet escapet
af htmlspecialchars.
Det er jo så ikke noget problem, når han igen skal skrive Ras"mus" for
at logge ind feks, så skal dét felt jo også bare escapes for html-
tegn.
Men er det den rigtige praksis?
Man vil jo samtidig gerne gøre sine sider så sikrer som muligt.
Håber I kan forstår hvor jeg gerne vil hen med emnet
Mvh
Stig