addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入
一、转义或者转换的目的
1. 转义或者转换字符串防止sql注入
2. 转义或者转换字符防止html非过滤引起页面布局变化
3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式
二、函数
1. addslashes($str);
此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)
转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函数
2. htmlspecialchars($str);
此函数只转换5个字符,和号(&),双引号(“),单引号(‘),小于(<),大于(>),转换为实体形式,输出时浏览器会自动还原的,如果有意识的转换回来使用htmlspecialchars_decode();
3. htmlentities();
此函数会把所有html表示都转换为实体形式的,如果把thml实体转换为字符使用html_lentity_decode()
正因为来之不易,所以才有了后来的倍加珍惜。