一、單引號和雙引號轉義在PHP的資料儲存過程中用得比較多,即往資料庫裡面儲存資料時候需要注意轉義單、雙引號;
先說幾個PHP函式:
1、addslashes — 使用反斜線引用(轉義)字串;
返回字串,該字串為了資料庫查詢語句等的需要在某些字元前加上了反斜線。這些字元是單引號(')、雙引號(")、反斜線(\)與 NUL(NULL 字元)。
一個使用 addslashes() 的例子是當你要往資料庫中輸入資料時。例如,將名字 O'reilly 插入到資料庫中,這就需要對其進行轉義。大多資料庫使用 \ 作為轉義符:O\'reilly。這樣可以將資料放入資料庫中,而不會插入額外的 \。當 PHP 指令 magic_quotes_sybase 被設定成on 時,意味著插入 ' 時將使用 ' 進行轉義。預設情況下,PHP 指令 magic_quotes_gpc 為 on,它主要是對所有的 GET、POST 和 COOKIE 資料自動執行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes(),因為這樣會導致雙層轉義。遇到這種情況時可以使用函式 get_magic_quotes_gpc() 進行檢測。
2、stripslashes — 去掉字串的反斜槓引用(轉義)
即同addslashes()做相反的工作;
3、get_magic_quotes_gpc --- 檢測魔術引用變數是否開啟,倘若開啟返回1,為開啟則返回0;
if (!get_magic_quotes_gpc()) {
$lastname=addslashes($_POST['lastname']);
} else {
$lastname=$_POST['lastname' ];
}
echo$lastname;
$sql="INSERT INTO lastnames (lastname) VALUES ('$lastname')";
二、談轉義實體問題:
我們經常會遇到關於留言板之類的可以讓使用者輸入資訊的地方,這些地方都是需要注意的,因為不做轉實體之類的話,html程式碼、script指令碼可以輕易的被輸入儲存,並被其他使用者執行;
所以類似使用者在輸入文字內輸入<a href="xxx">hello</a>之類的,我們儘量要遮蔽掉,否則使用者會亂搞,比如調CSS樣式等,那樣,我們頁面將一塌糊塗。廢話不多說,這裡有幾個關於PHP轉實體的函式需要詳細瞭解:
1、htmlspecialchars() 轉義特別的字元為HTML實體;
- '&' (ampersand) becomes '&'
- '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
- ''' (single quote) becomes ''' only when ENT_QUOTES is set.
- '<' (less than) becomes '<'
- '>' (greater than) becomes '>'
2、htmlspecialchars_decode()將實體轉成HTML程式碼,函式1的反函式
3、 htmlentities()這個是全部轉換html實體,和htmlspecialchars()區別在於,這個函式是轉義全部的字元,而htmlspecialchars()僅僅轉義上面限定的5個特殊字元!