Šuplík Honzy Hučína

Pro atributy radši uvozovky. U value určitě

Není úplně jedno, jestli hodnoty atributů v (X)HTML uvádět v uvozovkách, nebo v apostrofech. Podle Yuhůa se může obojí (a validátor apostrofy místo uvozovek bez potíží skousne i pro XHTML Strict 1.0), specifikace hovoří jen o uvozovkách. No, každopádně uvozovky přinesou méně potíží. Aspoň tedy u atributu value v prvcích formuláře.

Příklad: mám formulář pro opravu údajů. Z databáze načtu aktuální údaje a chci jimi formulář předvyplnit. A protože jsem cosi slyšel o nebezpečných znacích pro HTML, nezapomenu text prohnat funkcí htmlspecialchars. Zjednodušeně třeba takto:

<?php
$jmeno = htmlspecialchars($jmeno);
?>
<input type='text' name='jmeno' value='<?php echo $jmeno;?>'>

Chytří už vědí, že jméno obsahující apostrof (např. O'Brien) mi nadělá pěknou paseku. Funkce htmlspecialchars totiž standardně změní jen uvozovky, kdežto apostrofy nechá být. Musí se použít htmlspecialchars($jmeno,ENT_QUOTES).

No co, tak přidáme parametr do funkce. Ale někdy se to tak snadno ovlivnit nedá. Používám jednoduchý šablonovací systém HTMLTMPL, který při výstupu sice nebezpečné znaky převádí automaticky, ale na apostrofy prostě kašle (resp. neumím ho donutit, aby nekašlal).

Mít místo apostrofu uvozovky je daleko jistější. Do konstrukce

<?php
$jmeno = htmlspecialchars($jmeno);
?>
<input type="text" name="jmeno" value="<?php echo $jmeno;?>">

se apostrof vpustit nebojím, i když se nepřevede.