1.javascript跟sql语句中,单引号需加反斜线转义\',不然会报错。
在数据库中存贮的是原本的文字,但是插入时需加\,读取并由js使用时亦需加\转义。
PHP解决方式:
插入数据库时,使用AddSlashes函数转义单双引号,存入数据库的数据不变
读取通过js使用时,AddSlashes就可以
显示在html时候,htmlspecialchars($str,ENT_QUOTES)函数显示在html上面(用Kindeditor的时候,存入数据库的已经是转义之后的数据,所以这一步都省掉了)
2.在html中显示各种特殊字符时,通过如下方式保证完整性及安全性:
一。
PHP:htmlspecialchars()
http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
PHP:
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
- & (和号) 成为 &
- " (双引号) 成为 "
- ' (单引号) 成为 '
- < (小于) 成为 <
- > (大于) 成为 >
语法
htmlspecialchars(string,quotestyle,character-set)
参数 | 描述 |
---|---|
string | 必需。规定要转换的字符串。 |
quotestyle | 可选。规定如何编码单引号和双引号。
|
character-set | 可选。字符串值,规定要使用的字符集。
|
二。
PHP 单双引号与HTML转义的那些事
http://www.dreammydreams.com/?p=21
一、单引号和双引号转义在PHP的数据存储过程中用得比较多,即往数据库里面存储数据时候需要注意转义单、双引号;
先说几个PHP函数:
1、addslashes — 使用反斜线引用(转义)字符串;
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(‘)、双引号(“)、反斜线(\)与 NUL(NULL 字符)。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O’reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\’reilly。这样可以将数据放入数据库中,而不会插入额外的 \。当 PHP 指令magic_quotes_sybase 被设置成 on 时,意味着插入 ‘ 时将使用 ‘ 进行转义。默认情况下,PHP 指令magic_quotes_gpc 为 on,它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数get_magic_quotes_gpc() 进行检测。
2、stripslashes — 去掉字符串的反斜杠引用(转义)
即同addslashes()做相反的工作;
3、get_magic_quotes_gpc — 检测魔术引用变量是否开启,倘若开启返回1,为开启则返回0;
$lastname = addslashes($_POST['lastname']);
} else {
$lastname = $_POST['lastname' ];
}
echo $lastname;
$sql = “INSERT INTO lastnames (lastname) VALUES (‘$lastname’)”;
二、谈转义实体问题:
我们经常会遇到关于留言板之类的可以让用户输入信息的地方,这些地方都是需要注意的,因为不做转实体之类的话,html代码、script脚本可以轻易的被输入保存,并被其他用户执行;
所以类似用户在输入文本内输入<a href=”xxx”>hello</a>之类的,我们尽量要屏蔽掉,否则用户会乱搞,比如调CSS样式等,那样,我们页面将一塌糊涂。废话不多说,这里有几个关于PHP转实体的函数需要详细了解:
1、htmlspecialchars() 转义特别的字符为HTML实体;
- ‘&’ (ampersand) becomes ‘&’
- ‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.
- ”’ (single quote) becomes ‘'’ only when ENT_QUOTES is set.
- ‘<’ (less than) becomes ‘<’
- ‘>’ (greater than) becomes ‘>’
2、htmlspecialchars_decode()将实体转成HTML代码,函数1的反函数
3、 htmlentities()这个是全部转换html实体,和htmlspecialchars()区别在于,这个函数是转义全部的字符,而htmlspecialchars()仅仅转义上面限定的5个特殊字符!
三。html js中单引号,双引号及其转义引用
http://www.cnblogs.com/lenxu/archive/2011/10/28/2227256.html
在一个网页中的按钮,写onclick事件的处理代码,不小心写成如下:
<input value="Test" type="button" οnclick="alert(""OK"");" />
IE提示出错后,再漫不经心地改为:
<input value="Test" type="button" οnclick="alert(\"OK\");" />
结果还是出错。
这时,我就想不通了,虽然我知道最直接的解决方法是写成这样:
<input value="" type="button" οnclick="alert('OK');" />
但为什么javascript中的转义字符\没有效果了呢?
后来找到一段正常的代码:
<input value="Test" type="button" οnclick="alert("OK");" />
这时才理解,原来这时,还是归于HTML的管辖范围,所以转义字符应该使用HTML的,而不是javascript的。两个双引号的做法是vbScript的,\"这种做法则是javascript的,而HTML的,则是用",此外还可以使用:"、'。
下面列出各种表达方法:
<html>
<body>
<input value="外双引号内双引号-错误" type="button" οnclick="alert("OK");" /><br />
<input value="外单引号内单引号-错误" type="button" οnclick='alert('OK');' /><br />
<input value="两个双引号-错误" type="button" οnclick="alert(""OK"");" /><br />
<input value="两个单引号-错误" type="button" οnclick="alert(''OK'');" /><br />
<input value="\+双引号-错误" type="button" οnclick="alert(\"OK\");" /><br />
<input value="\+单引号-错误" type="button" οnclick="alert(\'OK\');" /><br />
<input value="外双引号内单引号-OK" type="button" οnclick="alert('OK');" /><br />
<input value="外单引号内双引号-OK" type="button" οnclick='alert("OK");' /><br />
<input value="外部不使用引号-OK" type="button" οnclick=alert('OK');alert("OK"); /><br />
<input value="HTML转义字符"(& # 3 4 ;)-OK" type="button" οnclick="alert("OK");" /><br />
<input value="HTML转义字符'(& # 3 9 ;)-OK" type="button" οnclick="alert('OK');" /><br />
<input value="HTML转义字符"(& # x 2 2 ;)-OK" type="button" οnclick="alert('OK');" /><br />
<input value="HTML转义字符'(& # x 2 7 ;)-OK" type="button" οnclick="alert('OK');" /><br />
<input value="HTML转义字符"(& q u o t ;)-OK" type="button" οnclick="alert("OK");" /><br />
<input value="HTML转义字符'(& a p o s ;)-IE错误" type="button" οnclick="alert('OK');" /><br />
<input value="其它\\-错误" type="button" οnclick="alert(\\"OK\\");" /><br />
<input value="其它\& # 3 4 ;-错误" type="button" οnclick="alert(\"OK\");" /><br />
</body>
</html>