if(isset($_GET["fname"]) && isset($_GET["lname"])){ echo htmlspecialchars($_GET["fname"], ENT_QUOTES); echo htmlspecialchars($_GET["lname"], ENT_QUOTES); } # use arjun tool to find hidden parameter