参考文章:http://baike.baidu.com/view/73.htm
http://www.jb51.net/article/9387.htm
所有的ASCII码都可以用“\”加数字(一般是8进制数字)来表示。而C中定义了一些字母前加"\"来表示常见的那些不能显示的ASCII字符,如\0,\t,\n等,就称为转义字符,因为后面的字符,都不是它本来的ASCII字符意思了。
作用
转义字符串(Escape Sequence)也称字符实体(Character Entity)。
其实所有 编程语言,拥有转义字符的原因基本上是两点:
一、使用转义字符来表示字符集中定义的字符,比如ASCll里面的 控制字符及回车换行等字符,这些字符都没有现成的文字代号。所以只能用转义字符来表示 。
二、某一些特定的字符在编辑语言中被定义为特殊用途的字符。这些字符由于被定义为特殊用途,它们失去了原有的意义。比如说Html中,<被HTML定义为标签的开始,所以当我们转入<时,HTML就会把它当作为开始,而不是当作一个<来看待。再如PHP 的双引号("),被PHP定义为字符串的外围标签,所以如果你在一对双引号里面,还想要使用双引号,只能使用转义字符了。不然PHP就会报错了。
另外出于网站的安全。在数据写入数据库前,都会使用转义字符(函数)对一些敏感字符进行转义。这样做可以避免一些别有用心的人利用特殊符号的注入攻击。
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes()和stripslashes()
4.mysql_escape_string()
5.addcslashes()和stripcslashes()
6.htmlentities() 和html_entity_decode()
7.htmlspecialchars()和htmlspecialchars_decode()
1.当magic_quotes_runtime打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。
可以使用set_magic_quotes_runtime()与get_magic_quotes_runtime()设置和检测其状态。
注意:PHP5.3.0以上的版本已将这两个函数废弃,也就说在PHP5.3.0或以上版本时该选项已经为关闭了。
2.magic_quotes_gpc设置是否自动为GPC(GET,POST,COOKIE)传来的数据中的某些字符进行转义,
可以使用 get_magic_quotes_gpc()检测其设置。
如果没有打开这项设置,可以使用addslashes()函数添加给字符串进行转义
3.addslashes() 在指定的预定义字符前添加反斜杠。
预定义字符包括单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
以上是W3SCHOOL.COM.CN给出的解释俺一直觉的不是很准确
因为在magic_quotes_sybase=on时它将单引号(')转换成双引号(") 在magic_quotes_sybase=off时才将单引号(')转换成(\')
stripslashes()函数的功能与addslashes()正好相反,它的功能是去除转义的效果。
4.mysql_escape_string() 转义 SQL语句中使用的字符串中的特殊字符。
这里的特殊包括(\x00)、( \n)、( \r )、(\)、( ')、 (")、( \x1a)
5.addcslashes()以C 语言风格使用反斜线转义字符串中的字符,这个函数很少人去用,但是应该注意的是:当选择对字符 0,a,b,f,n,r,t 和 v 进行转义时,它们将被转换成 \0,\a,\b,\f,\n,\r,\t 和 \v。在 PHP 中,只有 \0(NULL),\r(回车符),\n(换行符)和 \t(制表符)是预定义的转义序列, 而在 C 语言中,上述的所有转换后的字符都是预定义的转义序列。同理stripcslashes()的功能就是去除其转义。
6.htmlentities() 把字符转换为 HTML 实体。
具体参数请见这里,其逆反的函数html_entity_decode() -把 HTML 实体转换为字符。
7.htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。
这些预定义的字符是: & (和号) 成为 '&' " (双引号) 成为 "' (单引号) 成为 ' < (小于) 成为 <> (大于) 成为 >
详细参数请见这里,其逆反函数是htmlspecialchars_decode() 把一些预定义的 HTML 实体转换为字符。
利用在用户输入或输出时候 转义HTML实体以防止XSS漏洞的产生!
其实所有 编程语言,拥有转义字符的原因基本上是两点:
一、使用转义字符来表示字符集中定义的字符,比如ASCll里面的 控制字符及回车换行等字符,这些字符都没有现成的文字代号。所以只能用转义字符来表示 。
二、某一些特定的字符在编辑语言中被定义为特殊用途的字符。这些字符由于被定义为特殊用途,它们失去了原有的意义。比如说Html中,<被HTML定义为标签的开始,所以当我们转入<时,HTML就会把它当作为开始,而不是当作一个<来看待。再如PHP 的双引号("),被PHP定义为字符串的外围标签,所以如果你在一对双引号里面,还想要使用双引号,只能使用转义字符了。不然PHP就会报错了。
另外出于网站的安全。在数据写入数据库前,都会使用转义字符(函数)对一些敏感字符进行转义。这样做可以避免一些别有用心的人利用特殊符号的注入攻击。
字符表
所有的转义字符和所对应的意义:
转义字符
|
意义
|
ASCII码值(十进制)
|
\a
|
响铃(BEL)
|
007
|
\b
|
退格(BS) ,将当前位置移到前一列
|
008
|
\f
|
换页(FF),将当前位置移到下页开头
|
012
|
\n
|
换行(LF) ,将当前位置移到下一行开头
|
010
|
\r
|
回车(CR) ,将当前位置移到本行开头
|
013
|
\t
|
水平制表(HT) (跳到下一个TAB位置)
|
009
|
\v
|
垂直制表(VT)
|
011
|
\\
|
代表一个反斜线字符''\'
|
092
|
\'
|
代表一个单引号(撇号)字符
|
039
|
\"
|
代表一个双引号字符
|
034
|
\0
|
空字符(NULL)
|
000
|
\ddd
|
1到3位八进制数所代表的任意字符
|
三位八进制
|
\xhh
|
1到2位十六进制所代表的任意字符
|
二位十六进制
|
字符型常量
'A', '\x2f', '\013';
其中:\x表示后面的字符是
十六进制数,\0表示后面的字符是八进制数。
注意:在Turbo C 2.0中,字符型
常量表示数的范围是-128到127,除非你把它声明为unsigned,这样就是0到255。
编程语言
如HTML转义符、java 转义符、xml 转义符、 oracle 转义符、sql 转义符 、sqlserver 转义符、php 转义符、asp 转义符、vb转义符、 javascript 转义符等等,还有网址中的"%"
HTML转义符:< >&"©对别是<,>,&,",©;的转义字符
XML
转义符:只有5个: < >& " '
url转义符:“%”+数字,转义+、空格、目录分割符/、?、%、#、&、=、!等字符
PHP转义符: “\" (反斜线)
url转义符:“%”+数字,转义+、空格、目录分割符/、?、%、#、&、=、!等字符
PHP转义符: “\" (反斜线)
如果紧接着是一个非字母数字字符,表明取消 该字符所代表的特殊涵义。单引号中只支持两个转义\'和\\,其他需要在双引号中才可解析。
________________________________________________________________________________________________________________PHP字符转义相关函数小结(php下的转义字符串)
与PHP字符串转义相关的配置和函数如下:1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes()和stripslashes()
4.mysql_escape_string()
5.addcslashes()和stripcslashes()
6.htmlentities() 和html_entity_decode()
7.htmlspecialchars()和htmlspecialchars_decode()
1.当magic_quotes_runtime打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。
可以使用set_magic_quotes_runtime()与get_magic_quotes_runtime()设置和检测其状态。
注意:PHP5.3.0以上的版本已将这两个函数废弃,也就说在PHP5.3.0或以上版本时该选项已经为关闭了。
2.magic_quotes_gpc设置是否自动为GPC(GET,POST,COOKIE)传来的数据中的某些字符进行转义,
可以使用 get_magic_quotes_gpc()检测其设置。
如果没有打开这项设置,可以使用addslashes()函数添加给字符串进行转义
3.addslashes() 在指定的预定义字符前添加反斜杠。
预定义字符包括单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
以上是W3SCHOOL.COM.CN给出的解释俺一直觉的不是很准确
因为在magic_quotes_sybase=on时它将单引号(')转换成双引号(") 在magic_quotes_sybase=off时才将单引号(')转换成(\')
stripslashes()函数的功能与addslashes()正好相反,它的功能是去除转义的效果。
4.mysql_escape_string() 转义 SQL语句中使用的字符串中的特殊字符。
这里的特殊包括(\x00)、( \n)、( \r )、(\)、( ')、 (")、( \x1a)
5.addcslashes()以C 语言风格使用反斜线转义字符串中的字符,这个函数很少人去用,但是应该注意的是:当选择对字符 0,a,b,f,n,r,t 和 v 进行转义时,它们将被转换成 \0,\a,\b,\f,\n,\r,\t 和 \v。在 PHP 中,只有 \0(NULL),\r(回车符),\n(换行符)和 \t(制表符)是预定义的转义序列, 而在 C 语言中,上述的所有转换后的字符都是预定义的转义序列。同理stripcslashes()的功能就是去除其转义。
6.htmlentities() 把字符转换为 HTML 实体。
具体参数请见这里,其逆反的函数html_entity_decode() -把 HTML 实体转换为字符。
7.htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。
这些预定义的字符是: & (和号) 成为 '&' " (双引号) 成为 "' (单引号) 成为 ' < (小于) 成为 <> (大于) 成为 >
详细参数请见这里,其逆反函数是htmlspecialchars_decode() 把一些预定义的 HTML 实体转换为字符。
利用在用户输入或输出时候 转义HTML实体以防止XSS漏洞的产生!