php常用的引號轉義函數(shù)有：1、addslashes，對SQL語句中的特殊字符進行轉義操作；2、htmlspecialchars，把HTML中的幾個特殊字符轉義成HTML Entity；3、【strip_tags】，過濾掉NULL等標簽。

php常用的引號轉義函數(shù)有

1. addslashes

addslashes對SQL語句中的特殊字符進行轉義操作，包括(‘), (“), (), (NULL)四個字符，此函數(shù)在DBMS沒有自己的轉義函數(shù)時候使用，但是如果DBMS有自己的轉義函數(shù)，那么推薦使用原裝函數(shù)，比如MySQL有mysql_real_escape_string函數(shù)用來轉義SQL。

注意在PHP5.3之前，magic_quotes_gpc是默認開啟的，其主要是在$GET, $POST, $COOKIE上執(zhí)行addslashes操作，所以不需要在這些變量上重復調用addslashes，否則會double escaping的。不過magic_quotes_gpc在PHP5.3就已經被廢棄，從PHP5.4開始就已經被移除了，如果使用PHP最新版本可以不用擔心這個問題。stripslashes為addslashes的unescape函數(shù)。

2. htmlspecialchars

htmlspecialchars把HTML中的幾個特殊字符轉義成HTML Entity(格式：&xxxx;)形式，包括(&),(‘),(“),(<),(>)五個字符。

& (AND) => &amp;

” (雙引號) => &quot; (當ENT_NOQUOTES沒有設置的時候)

‘ (單引號) => &#039; (當ENT_QUOTES設置)

< (小于號) => &lt;

> (大于號) => &gt;

htmlspecialchars可以用來過濾$GET，$POST，$COOKIE數(shù)據(jù)，預防XSS。

注意htmlspecialchars函數(shù)只是把認為有安全隱患的HTML字符進行轉義，如果想要把HTML所有可以轉義的字符都進行轉義的話請使用htmlentities。htmlspecialchars_decode為htmlspecialchars的decode函數(shù)。

3. htmlentities

htmlentities把HTML中可以轉義的內容轉義成HTML Entity。html_entity_decode為htmlentities的decode函數(shù)。

4. mysql_real_escape_string

mysql_real_escape_string會調用MySQL的庫函數(shù)mysql_real_escape_string，對(x00), (n), (r), (), (‘), (x1a)進行轉義，即在前面添加反斜杠()，預防SQL注入。

注意你不需要在讀取數(shù)據(jù)庫數(shù)據(jù)的時候調用stripslashes來進行unescape，因為這些反斜杠是在數(shù)據(jù)庫執(zhí)行SQL的時候添加的，當把數(shù)據(jù)寫入到數(shù)據(jù)庫的時候反斜杠會被移除，所以寫入到數(shù)據(jù)庫的內容就是原始數(shù)據(jù)，并不會在前面多了反斜杠。

5. strip_tags

strip_tags會過濾掉NULL，HTML和PHP的標簽。

相關學習推薦：PHP編程從入門到精通