有关PHP、HTML单引号、双引号转义以及转成HTML实体的那些事！

一、单引号和双引号转义在PHP的数据存储过程中用得比较多，即往数据库里面存储数据时候需要注意转义单、双引号；

先说几个PHP函数：

1、addslashes — 使用反斜线引用（转义）字符串；

　　返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。

一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如，将名字 O'reilly 插入到数据库中，这就需要对其进行转义。大多数据库使用 \ 作为转义符：O\'reilly。这样可以将数据放入数据库中，而不会插入额外的 \。当 PHP 指令 magic_quotes_sybase 被设置成 on 时，意味着插入 ' 时将使用 ' 进行转义。默认情况下，PHP 指令 magic_quotes_gpc 为 on，它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

2、stripslashes — 去掉字符串的反斜杠引用（转义）

　　即同addslashes()做相反的工作；

3、get_magic_quotes_gpc --- 检测魔术引用变量是否开启，倘若开启返回1，为开启则返回0；

if ( ! get_magic_quotes_gpc ()) {
$lastname = addslashes ( $_POST [ ' lastname ' ]);
} else {
$lastname = $_POST [ ' lastname ' ];
}
echo $lastname ;  
$sql = " INSERT INTO lastnames (lastname) VALUES (' $lastname ') " ;

 

二、谈转义实体问题：

我们经常会遇到关于留言板之类的可以让用户输入信息的地方，这些地方都是需要注意的，因为不做转实体之类的话，html代码、script脚本可以轻易的被输入保存，并被其他用户执行；

所以类似用户在输入文本内输入<a href="xxx">hello</a>之类的，我们尽量要屏蔽掉，否则用户会乱搞，比如调CSS样式等，那样，我们页面将一塌糊涂。废话不多说，这里有几个关于PHP转实体的函数需要详细了解：

1、htmlspecialchars（） 转义特别的字符为HTML实体；

• '&' (ampersand) becomes '&amp;'
• '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.
• ''' (single quote) becomes '&#039;' only when ENT_QUOTES is set.
• '<' (less than) becomes '&lt;'
• '>' (greater than) becomes '&gt;'

2、htmlspecialchars_decode（）将实体转成HTML代码,函数1的反函数

 

3、 htmlentities()这个是全部转换html实体，和htmlspecialchars()区别在于，这个函数是转义全部的字符，而htmlspecialchars()仅仅转义上面限定的5个特殊字符！

转载于:https://www.cnblogs.com/goldarch/archive/2011/09/28/2194226.html