php轉(zhuǎn)義特殊字符的函數(shù)是：1、addslashes()，使用反斜線引用字符串，對(duì)字符進(jìn)行轉(zhuǎn)義；2、mysql_real_escape_string()，轉(zhuǎn)義SQL語(yǔ)句中使用的字符串中的特殊字符；3、htmlspecialchars()。

本教程操作環(huán)境：windows7系統(tǒng)、PHP7.1版、DELL G3電腦

php中的轉(zhuǎn)義特殊字符函數(shù)

1、addslashes

addslashes對(duì)SQL語(yǔ)句中的特殊字符進(jìn)行轉(zhuǎn)義操作，包括(‘), (“), (), (NUL)四個(gè)字符，此函數(shù)在DBMS沒有自己的轉(zhuǎn)義函數(shù)時(shí)候使用，但是如果DBMS有自己的轉(zhuǎn)義函數(shù)，那么推薦使用原裝函數(shù)，比如MySQL有mysql_real_escape_string函數(shù)用來轉(zhuǎn)義SQL。

注意在PHP5.3之前，magic_quotes_gpc是默認(rèn)開啟的，其主要是在$GET, $POST, $COOKIE上執(zhí)行addslashes操作，所以不需要在這些變量上重復(fù)調(diào)用addslashes，否則會(huì)double escaping的。

不過magic_quotes_gpc在PHP5.3就已經(jīng)被廢棄，從PHP5.4開始就已經(jīng)被移除了，如果使用PHP最新版本可以不用擔(dān)心這個(gè)問題。stripslashes為addslashes的unescape函數(shù)。

2、mysql_real_escape_string

mysql_real_escape_string() 函數(shù)轉(zhuǎn)義 SQL 語(yǔ)句中使用的字符串中的特殊字符。

下列字符受影響：

• x00

• n

• r

• '

• "

• x1a

如果成功，則該函數(shù)返回被轉(zhuǎn)義的字符串。如果失敗，則返回 false。

注意你不需要在讀取數(shù)據(jù)庫(kù)數(shù)據(jù)的時(shí)候調(diào)用stripslashes來進(jìn)行unescape，因?yàn)檫@些反斜杠是在數(shù)據(jù)庫(kù)執(zhí)行SQL的時(shí)候添加的，當(dāng)把數(shù)據(jù)寫入到數(shù)據(jù)庫(kù)的時(shí)候反斜杠會(huì)被移除，所以寫入到數(shù)據(jù)庫(kù)的內(nèi)容就是原始數(shù)據(jù)，并不會(huì)在前面多了反斜杠。

3、htmlspecialchars

htmlspecialchars把HTML中的幾個(gè)特殊字符轉(zhuǎn)義成HTML Entity(格式：&xxxx;)形式，包括(&),(‘),(“),(<),(>)五個(gè)字符。

• & (AND) => &amp;

• ” (雙引號(hào)) => &quot; (當(dāng)ENT_NOQUOTES沒有設(shè)置的時(shí)候)

• ‘ (單引號(hào)) => &#039; (當(dāng)ENT_QUOTES設(shè)置)

• < (小于號(hào)) => &lt;

• > (大于號(hào)) => &gt;

htmlspecialchars可以用來過濾$GET，$POST，$COOKIE數(shù)據(jù)，預(yù)防XSS。注意htmlspecialchars函數(shù)只是把認(rèn)為有安全隱患的HTML字符進(jìn)行轉(zhuǎn)義，如果想要把HTML所有可以轉(zhuǎn)義的字符都進(jìn)行轉(zhuǎn)義的話請(qǐng)使用htmlentities。htmlspecialchars_decode為htmlspecialchars的decode函數(shù)。

推薦學(xué)習(xí)：《PHP視頻教程》