PHP中addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(')
双引号(")
反斜杠(\)
NULL
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
用法示例如下:
<?php $str="select * from `book` where bookname='脚本之家'"; echo $str."<br/>";//输出字符串$str echo $astr=addslashes($str);//字符串转义并输出 echo "<br/>"; echo stripslashes($astr);//将转义字符串还原 ?>
运行结果如下:
select * from `book` where bookname='脚本之家' select * from `book` where bookname=\'脚本之家\' select * from `book` where bookname='脚本之家'
补充:
addslashes()与addcslashes()函数的差别:
这是两个写法非常相近但是应用有所差别的函数,addslashes() 函数返回在预定义字符之前添加反斜杠的字符串,而addcslashes() 函数返回在指定字符前添加反斜杠的字符串,,因此addcslashes() 函数需要添加附加参数说明需要添加反斜杠的具体字符。
addslashes
是如何防注入的,就是防止在我们写SQL
时直接套用输入参数而导致产生可被注入的SQL
来防注入的。
例如$sql = "SELECT * FROM user WHERE id = '$id'";
,如果这里的$id
参数被人故意操作成了1' OR '1 = 1'
,那不就成了注入SQL
了吗?
而如果用addslashes
加上斜杠,$id
中的引号就会被转意,也就不会产生错误的SQL
。但这些结果都不会影响到数据写入,因为真正插入和更新数据时,这些斜杠又会被转意回来的。