在插入数据库之前对用户输入的内容进行转义(防止sql注入)
定义和用法
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
- & (和号) 成为 &
- " (双引号) 成为 "
- ‘ (单引号) 成为 '
- < (小于) 成为 <
- > (大于) 成为 >
语法
htmlspecialchars(string,quotestyle,character-set)
参数 | 描述 |
---|---|
string | 必需。规定要转换的字符串。 |
quotestyle |
可选。规定如何编码单引号和双引号。
|
character-set |
可选。字符串值,规定要使用的字符集。
|
提示和注释
提示:无法被识别的字符集将被忽略,并由 ISO-8859-1 代替。
例子
<html> <body> <?php $str = "John & ‘Adams‘"; echo htmlspecialchars($str, ENT_COMPAT); echo "<br />"; echo htmlspecialchars($str, ENT_QUOTES); echo "<br />"; echo htmlspecialchars($str, ENT_NOQUOTES); ?> </body> </html>
浏览器输出:
John & ‘Adams‘ John & ‘Adams‘ John & ‘Adams‘
如果在浏览器中查看源代码,会看到这些 HTML:
<html> <body> John & ‘Adams‘<br /> John & 'Adams'<br /> John & ‘Adams‘ </body> </html>