关于PHP中序列化（serialize）中出现双引号"，反斜杠\，单引号'等特殊字符的处理

为了保证安全性，一开始会将输入框中的双引号"，反斜杠\，单引号'等特殊字符之前添加一个\

表单中数据： test"hhh'test1\

$_POST[] | $_GET[] 接收到的数据： test\"hhh\'test1\\

serialize后为： s:18:"test\"hhh\'test1\\";

直接保存到mysql数据中： s:18:"test"hhh'test1\";

这时候就会遇到一个问题，序列化的字符串长度和字符串内容不符合。

 

解决方案：

表单中数据： test"hhh'test1\

$_POST[] | $_GET[] 接收到的数据： test\"hhh\'test1\\

将接收到的数据stripslashes：test"hhh'test1\serialize后为： s:15:"test"hhh'test1\";

但是此刻将stripslashes后的数据直接保存到mysql数据库中，如果字符串中有单引号'就是导致sql出错，无法写入数据库

所以，将serialize的数据在进行addslashes

addslashes后为s:15:\"test\"hhh\'test1\\\";

然后在保存到数据库中为 s:15:"test"hhh'test1\";

 

这样也就得到了相对正确的结果。

 

我还有一个疑问就是这样处理在某些时候会不会引发被SQL注入的危险，希望对数据库安全方面有了解的朋友能分享一下你的看法！

mysql数据库中反斜杠求余数，例如12\5=2，所以单个反斜杠写入无效

test"hhh'test1\