一、單引號和雙引號轉義在PHP的數據存儲過程中用得比較多,即往數據庫里面存儲數據時候需要注意轉義單、雙引號;
先說幾個PHP函數:
1、addslashes — 使用反斜線引用(轉義)字符串;
返回字符串,該字符串為了數據庫查詢語句等的需要在某些字符前加上了反斜線。這些字符是單引號(')、雙引號(")、反斜線(\)與 NUL(NULL 字符)。
一個使用 addslashes() 的例子是當你要往數據庫中輸入數據時。例如,將名字 O'reilly 插入到數據庫中,這就需要對其進行轉義。大多數據庫使用 \ 作為轉義符:O\'reilly。這樣可以將數據放入數據庫中,而不會插入額外的 \。當 PHP 指令 magic_quotes_sybase 被設置成on 時,意味着插入 ' 時將使用 ' 進行轉義。默認情況下,PHP 指令 magic_quotes_gpc 為 on,它主要是對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。
2、stripslashes — 去掉字符串的反斜杠引用(轉義)
即同addslashes()做相反的工作;
3、get_magic_quotes_gpc --- 檢測魔術引用變量是否開啟,倘若開啟返回1,為開啟則返回0;
if (!get_magic_quotes_gpc()) {
$lastname=addslashes($_POST['lastname']);
} else {
$lastname=$_POST['lastname' ];
}
echo$lastname;
$sql="INSERT INTO lastnames (lastname) VALUES ('$lastname')";
二、談轉義實體問題:
我們經常會遇到關於留言板之類的可以讓用戶輸入信息的地方,這些地方都是需要注意的,因為不做轉實體之類的話,html代碼、script腳本可以輕易的被輸入保存,並被其他用戶執行;
所以類似用戶在輸入文本內輸入<a href="xxx">hello</a>之類的,我們盡量要屏蔽掉,否則用戶會亂搞,比如調CSS樣式等,那樣,我們頁面將一塌糊塗。廢話不多說,這里有幾個關於PHP轉實體的函數需要詳細了解:
1、htmlspecialchars() 轉義特別的字符為HTML實體;
- '&' (ampersand) becomes '&'
- '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
- ''' (single quote) becomes ''' only when ENT_QUOTES is set.
- '<' (less than) becomes '<'
- '>' (greater than) becomes '>'
2、htmlspecialchars_decode()將實體轉成HTML代碼,函數1的反函數
3、 htmlentities()這個是全部轉換html實體,和htmlspecialchars()區別在於,這個函數是轉義全部的字符,而htmlspecialchars()僅僅轉義上面限定的5個特殊字符!