php的转义字符

PHP5.5以后废弃了mysql扩展，可以转用mysqli或者pdo_mysql，所以mysql_real_escape_string函数，如果用mysqli的话可以用mysqli_real_escape_string代替

不过建议用pdo_mysql，使用预处理语句提高安全性。  

htmlspecialchars单双引号、大于和小于号等转化成HTML格式

;htmlentities所有字符都转成HTML格式;

addslashes单双引号、反斜线及NULL加上反斜线转义

• 如果你用了pdo就不用考虑数据库操作上注入等问题了，pdo自带的预处理可以有效的防治sql注入以及特殊字符的处理。

• 如果你不用pdo那就得自己做好过滤处理了，如下推荐一个方法，仅供参考

function isEscape($val, $isboor = false) {
    if (! get_magic_quotes_gpc ()) {
        $val = addslashes ( $val );
    }
    if ($isboor) {
        $val = strtr ( $val, array (
                "%" => "\%",
                "_" => "\_" 
        ) );
    }
    return $val;
}

Mysql LIKE中特殊字符转义【附php实现函数】原文：http://m.blog.csdn.net/u010320127/article/details/8834637

首先来看一个测试：

mysql> SET @a="\";SELECT @a,@a LIKE "\\";

+----+----------------+
| @a | @a LIKE "\\" |
+----+----------------+
|   |              1 |
+----+----------------+

可以看出”\\“在LIKE中转义成”“，LIKE的转义和平时用的字符串的转义还是有点不一样的。

查了下官方文档，对于转义字符的解释：

this is because the backslashes are stripped once by the parser and again when the pattern match is made,
leaving a single backslash to be matched against. 

mysql自己的parser转义一次，然后LIKE的pattern对前面的结果再转义一次。

也就是说上例中的“\\”第一次转义成“\”，第二次才是“”。

再来看个mysql字符转义的测试

mysql> SELECT "\%","\_";
+----+----+
| \% | \_ |
+----+----+
| \% | \_ |
+----+----+
1 row in set

总结下，LIKE转义字符串时，一共两次，第一次不转义”\%“和”\_“，第二次全部转义。转义的特殊字符可以参见 http://dev.mysql.com/doc/refman/5.1/en/string-literals.html#character-escape-sequences

LIKE的转义可以看成先替换“\\”为“”,剩下的字符串用”\“转义,剩下的字符串再用”"转义。通常不遇见“\”, LIKE的特殊解析是感觉不到的。

下面附上PHP的LIKE转义代码：

 	//$pdo是PDO的实例，
 	//$str为搜索的字符串，如从表单中直接提交获取的
 	//先完成LIKE的转义
    	$str=strtr($str,array("%"=>"\%", "_"=>"\_", "\"=>"\\"));
    	//添加 %及_，组成完整搜索条件
    	$str="%".$str."%";
    	//mysql字符串的转义
    	$str=$pdo->quote($str);