htmlspecialchars和addslashes和et_magic_quotes_gpc的区别

htmlspecialchars和
addslashes和
et_magic_quotes_gpc

这三个玩意好象没有区别,似乎又有区别,不知如何处理三者之间的关系呢

PHP轻论坛

简介PHP轻论坛是一个简单易用的PHP论坛程序，适合小型社区和个人网站使用。v3.0版本是完全重构的版本，解决了之前版本中的所有已知问题，特别是MySQL保留字冲突问题。主要特点• 简单易用：简洁的界面，易于安装和使用• 响应式设计：适配各种设备，包括手机和平板• 安全可靠：避免使用MySQL保留字，防止SQL注入• 功能完善：支持分类、主题、回复、用户管理等基本功能• 易于扩展：模块化设计，便于

21

查看详情

回复讨论(解决方案)

htmlspecialchars 转换成html实体，偶尔在存入数据库之前把html转为实体存储（一般是富文本编辑的内容）
addslashes 转义特殊符号，一般在查数据库的时候会先转义特殊字符，防止sql注入
get_magic_quotes_gpc 判断magic_quotes_gpc（若开启的话，php会对GET、POST 和 COOKIE 数据自动运行 addslashes）是否开启，防止你二次转义

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是：
& （和号） 成为 &
" （双引号） 成为 "
' （单引号） 成为 '
> （大于） 成为 >

addslashes() 函数在指定的预定义字符前添加反斜杠。
默认情况下，PHP 指令 magic_quotes_gpc 为 on，对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

et_magic_quotes_gpc 这个应该是
get_magic_quotes_gpc():
查看magic_quotes_gpc值.0=关闭.1=打开

htmlspecialchars 与后两个方法没关系。

而get_magic_quotes_gpc 如果是1，表示GET/POST的数据已经是执行过addslashes的。
如果是0，表示没有执行过addslashes，那就需要用户自己执行addslashes来转义