'value'属性の値を引用符で囲む必要があります。
<input name="searchText" type="text" id="searchText" size=70 value="<?php echo $searchQuery; // prints "this"?>" />
それ以外の場合、これはレンダリングされるものです:
<input name="searchText" type="text" id="searchText" size=70 value = this is some sentent />
これは、「value」という名前の属性の値を「this」と定義し、値のない「is」、「some」、および「sentence」という属性をさらに作成します(意味がありません)。引用は重要です!この場合は重要ではありませんが、サイズ変数も引用符で囲む必要があります。
また、GET変数を検査および/またはサニタイズしないと、HTML / Javascriptインジェクション攻撃にさらされる可能性があることに注意してください。値word onClick='doSomething();'
をGET変数値として指定すると、クライアントでjavascriptを実行できます。これがWebサイトのコメントセクションの一部としてレンダリングされた場合、他のクライアントのマシンに任意のjavascriptを挿入できる可能性があります。
[編集]
htmlspecialchars
これは、Esailijaが指摘したように使用することで実現できます。一般的なWebの脆弱性と、GET変数をサニタイズする理由の詳細については、OWASPを確認する必要があります。