php 中向 `` 的 `value` 属性输出含空格的字符串时,必须用英文双引号或单引号包裹该值,并对特殊字符进行 html 实体转义,否则仅首单词会被识别为 value 值。
在您原始代码中:
echo "<input type='text' name='dname' value=$dna size='50' maxlength='50'>";
$dna(例如 "Haus Maus")被直接拼入 HTML 属性,未加引号包裹,导致浏览器解析为:
<input type='text' name='dname' value=Haus Maus size='50' maxlength='50'>
此时 value 仅取到 Haus,Maus 被误认为是下一个属性名,造成截断。
✅ 正确做法是:
立即学习“前端免费学习笔记(深入)”;
- 为 value 属性值添加引号(推荐双引号);
- 使用 htmlentities() 或 htmlspecialchars() 转义内容,防止 XSS 和 HTML 解析错误;
- 优先采用混合 HTML/PHP 模式,提升可读性与可维护性。
优化后的写法如下:
<tr>
<td width="120" class="textfett">Deutscher Name</td>
<td width="114" class="titel">
<input
type="text"
name="dname"
value="<?= htmlspecialchars($dna, ENT_QUOTES, 'UTF-8') ?>"
size="50"
maxlength="50"
>
</td>
</tr>? 关键说明:
- <?= ... ?> 是 <?php echo ...; ?> 的简写,更简洁;
- htmlspecialchars(..., ENT_QUOTES, 'UTF-8') 可安全转义双引号、单引号及 <, >, & 等,比 htmlentities() 更轻量且语义准确;
- 若 $dna 为空或 null,htmlspecialchars() 会返回空字符串,不会报错,具备健壮性;
- 避免在 HTML 属性中混用 PHP echo 拼接——易出引号嵌套错误,也降低可读性。
⚠️ 注意事项:
- 切勿省略引号:value=<?=$dna?> 与 value="<?=$dna?>" 效果天差地别;
- 不要依赖 addslashes() 或 mysql_real_escape_string() —— 它们用于 SQL,不适用于 HTML 输出;
- 若 $dna 来自用户输入或数据库,务必转义;若确定为纯 ASCII 无特殊字符,仍建议保留 htmlspecialchars() 作为防御性编程习惯。
掌握这一细节,即可确保多词字符串(如 "Großer Bär"、"Kleiner Fuchs")完整、安全地显示在文本框中。
