PHP、HTML单引号、双引号转义以及…

一、单引号和双引号转义在PHP的数据存储过程中用得比较多，即往数据库里面存储数据时候需要注意转义单、双引号；

先说几个PHP函数：

1、addslashes — 使用反斜线引用（转义）字符串；

　　返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（"）、双引号（"）、反斜线（）与NUL（NULL 字符）。

一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如，将名字 O"reilly 插入到数据库中，这就需要对其进行转义。大多数据库使用  作为转义符：O"reilly。这样可以将数据放入数据库中，而不会插入额外的 。当PHP 指令 magic_quotes_sybase 被设置成 on 时，意味着插入 " 时将使用 " 进行转义。默认情况下，PHP指令magic_quotes_gpc 为 on，它主要是对所有的GET、POST 和 COOKIE数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。 

2、stripslashes —去掉字符串的反斜杠引用（转义）

　　即同addslashes()做相反的工作；

3、get_magic_quotes_gpc ---检测魔术引用变量是否开启，倘若开启返回1，为开启则返回0；

 

if (!get_magic_quotes_gpc()) {

    $lastname = addslashes($_POST["lastname"]);

} else {

    $lastname = $_POST["lastname" ];

}
echo $lastname;  
$sql = "INSERT INTO lastnames (lastname) VALUES ("$lastname")";

 

 

二、谈转义实体问题：

我们经常会遇到关于留言板之类的可以让用户输入信息的地方，这些地方都是需要注意的，因为不做转实体之类的话，html代码、script脚本可以轻易的被输入保存，并被其他用户执行；

所以类似用户在输入文本内输入hello之类的，我们尽量要屏蔽掉，否则用户会乱搞，比如调CSS样式等，那样，我们页面将一塌糊涂。废话不多说，这里有几个关于PHP转实体的函数需要详细了解：

1、htmlspecialchars（）转义特别的字符为HTML实体；

• "&" (ampersand) becomes"&"
• """ (double quote) becomes""" when ENT_NOQUOTES is notset.
• """ (single quote) becomes""" only when ENT_QUOTES isset.
• "<" (less than) becomes"<"
• ">" (greater than) becomes">"

2、htmlspecialchars_decode（）将实体转成HTML代码,函数1的反函数

 

3、htmlentities()这个是全部转换html实体，和htmlspecialchars()区别在于，这个函数是转义全部的字符，而htmlspecialchars()仅仅转义上面限定的5个特殊字符！