# addslashes()
将单引号('),双引号("),反斜杠(\),NULL进行转义。
# mysql_escape_string()
```
string mysql_escape_string ( string unescaped_string )
```
* 本函数将 unescaped_string 转义,使之可以安全用于 mysql_query()。
* 该函数在php4.3的时候被弃用,在php5.3的时候会产生警告,在php7之后彻底移除。
* mysql_escape_string不转义%和_
# htmlspecialchars()
```
$str = htmlspecialchars(string,flags,character-set,double_encode);
```
* 参数说明
```
string:规定要转换的字符串;
flags :可选参数,规定如何处理引号、无效的编码以及使用哪种文档类型;可用的引号类型:
ENT_COMPAT:默认。仅编码双引号。
ENT_QUOTES:编码双引号和单引号。
ENT_NOQUOTES:不编码任何引号。
```
* 在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。如果string包含无效的编码,则返回一个空的字符串。
* 转换
![](https://leanote.com/api/file/getImage?fileId=5da27272ab6441691e00003a)
# strip_tag()
去除空字符、HTML和PHP标记后的结果,可以添加第二个参数指定不被去除的字符列表。
# escapeshellcmd()
* escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之前进行转义。
* 转义的字符
```
&
#
;
`
|
*
?
~
^
(、)
[、]
{、}
$
\
\x0A
\xFF
```