php中addslashes(),htmlspecialchars()
参考转自http://czf2008700.blog.163.com/blog/static/2397283200937103250194/
addslashes -- 使用反斜线引用字符串
string addslashes ( string str )
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。这样可以将数据放入数据库中,而不会插入额外的 \。当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义。
默认情况下,PHP 指令 magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
addslashes与stripslashes是php中对数据库的字符进行操作时.
htmlspecialchars把某些特殊字符转换成html的编码,常用到的场合可能就是处理客户留言的留言版了。
函数第二个参数ENT_COMPAT(默认只转化双引号)、ENT_QUOTES(单双引号都转义)、ENT_NOQUOTES(单双都不转义)
这些特殊字符仅限于以下几个:
& -> &
" -> "
< -> <
> -> >
' -> '
htmlentities跟htmlspecialchars的功能类似,但是htmlentities是对所有HTML定义的entity都不放过,包括各种特殊字符和中文,这样得出来的结果是中文字符部分变为一堆乱码。所以对于有中文的时候,建议使用htmlspecialchars()函数。
htmlspecialchars_decode是htmlspecialchars的逆向过程,把html的编码转换成字符。
// 实战;js中利用php得到的结果,给js的变量赋值
var action_log = "<?php echo addslashes(htmlspecialchars_decode($red_info['action_log']));?>";
$str = "<script>alert('12')</script>"; echo htmlspecialchars($str, ENT_QUOTES);// 对单引号也进行了转义