HTML與資料結合要注意的事項!!

HTML為標籤式語法, 一般多用兩個雙引號( " ) 

資料庫的存取，是可以存取雙引號( " )

且沒有SQL INJECTION(SQL資料隱碼攻擊)的問題

以一個文字框的HTML碼來看

  <input type="text" value="abc">

這樣的敘述是不會有問題的

若資料如右: "abc"

產生將如下:

   <input type="text" value=""abc"">

看出問題了嗎?

如標紅色字的樣子

value=""abc""

對HTML標籤來看 value="" 空白, 後面的敘述不會表示出來

所以在處理資料的部份

防止SQL Injection 之外

還要注意到最好將"特殊符號"轉成HTML定義識別碼

如: 空白=> &nbsp;

     雙引號(") => &quot;

PHP的撰寫者, 可以使用 htmlspecialchars(內容) , 會自動轉換

ASP的撰寫者, 可以使用 Server.HTMLencode(內容)

若以上語法上有勘誤, 還請指教, 謝謝!!