PHP代码能直接写在HTML文件里，但需服务器配置解析.html为PHP；推荐用.php后缀；嵌入语法首选，输出用；动态内容须按上下文转义防

XSS；大项目用include/require分离模板。

PHP代码能不能直接写在HTML文件里

能，但前提是服务器要解析 .html 文件为 PHP。默认情况下，Apache/Nginx 只对 .php 后缀执行 PHP 解析器，直接访问 index.html 里的 会原样输出，甚至暴露源码。

常见错误现象：
浏览器页面显示 而不是 test —— 这说明 PHP 根本没运行。

• 最稳妥做法：把文件保存为 .php 后缀（如 page.php），无需额外配置
• 若必须用 .html，需修改 Web 服务器配置：
   Apache：在 .htaccess 或主配置中加 AddType application/x-httpd-php .html
   Nginx：在 location ~ \.html$ 块里添加 fastcgi_pass 和相关参数
• 不建议在生产环境强制解析 HTML，有性能和安全冗余风险

PHP嵌入HTML的三种基本语法形式

PHP 提供了多套标签来包裹可执行代码，兼容性与使用场景不同：

• —— 唯一全兼容、推荐的标准写法，所有 PHP 版本都支持
• = ... ?> —— 短格式输出标签，等价于 ，PHP 5.4+ 默认开启，PHP 8.0+ 强制启用
• ... ?> —— 简短标签（short_open_tag），PHP 7.4+ 默认关闭，且已被标记为废弃；依赖它会导致迁移失败

示例对比：

欢迎

注意：= 后面不能跟分号，它本身就是输出语句，写成 = $x; ?> 会报错。

在HTML结构中安全插入动态内容

直接拼接字符串容易出错，尤其涉及引号、变量作用域或 XSS 风险。关键原则是：HTML 输出前必须明确上下文。

• 输出到 HTML 文本节点：用 htmlspecialchars($str, ENT_QUOTES, 'UTF-8') 转义
• 输出到 HTML 属性值（如 value="..."）：同样必须转义，且确保属性用双/单引号包裹
• 输出到 JavaScript 字符串内：改用 json_encode($str, JSON_UNESCAPED_UNICODE)，不要手动拼接
• 避免在 或 块中混写未过滤的 PHP 变量

错误示范（XSS 风险）：

正确写法：

include/require 与模板分离的实际用法

大项目不靠“嵌入”维持可维护性，而是用 PHP 的文件包含机制组织 HTML 片段。这不是语法嵌入，而是逻辑复用。

• include 'header.php'; —— 文件不存在只发警告，脚本继续执行
• require 'config.php'; —— 文件缺失直接致命错误，适合加载必需配置
• include_once / require_once —— 防止同一文件被重复包含（比如多个 include 链路最终指向同一个 db.php）
• 被包含的 .php 文件本身可以混合 HTML 和 PHP，例如 nav.php 里写

注意：包含路径是相对于当前执行脚本（不是被包含文件自身），__DIR__ 是最可靠的定位方式：

require __DIR__ . '/inc/footer.php';

路径错误时常见报错：Warning: include(header.php): failed to open stream，这时别猜相对路径，先打个 echo __DIR__; 看当前目录。