在mysql的查询、修改、插入、删除的sql语句里有引号如何处理?
例如:
|
1
2
3
4
5
6
7
8
|
<?$name = "my name is xcxc";$people = "i\'m chinese people";$sql = "update table set field1=\'$name\', field2=\'$people\'";?> |
其实有很多方法可以解决,比如strtr、str_replace等字符串替换函数,将单引号(\')和双引号(")替换成转移单引号(\\\')和转移双引号(\\"),还可以使用addslashes函数将指定的预定义字符前添加反斜杠。
下面看看我的办法
我使用的是htmlspecialchars() 函数,htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符有:
- & (和号) 成为 &
- " (双引号) 成为 "
- \' (单引号) 成为 '
- < (小于) 成为 <
- > (大于) 成为 >
语法:htmlspecialchars(string,quotestyle,character-set)
语法说明:
| 参数 | 描述 |
| string | 必需。规定要转换的字符串。 |
| quotestyle |
可选。规定如何编码单引号和双引号。 ENT_COMPAT - 默认。仅编码双引号。 ENT_QUOTES - 编码双引号和单引号。 ENT_NOQUOTES - 不编码任何引号。 |
| character-set |
可选。字符串值,规定要使用的字符集。 ISO-8859-1 - 默认。西欧。 |
语法举例:
|
1
2
3
4
|
例子
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<html><body><?php$str = "John & \'Adams\'";echo htmlspecialchars($str, ENT_COMPAT);echo "<br />";echo htmlspecialchars($str, ENT_QUOTES);echo "<br />";echo htmlspecialchars($str, ENT_NOQUOTES);?></body></html> |
浏览器输出:
|
1
2
3
|
John & \'Adams\'John & \'Adams\'John & \'Adams\' |
如果在浏览器中查看源代码,会看到这些 HTML:
|
1
2
3
4
5
6
7
|
<html><body>John & \'Adams\'<br />John & \'Adams\'<br />John & \'Adams\'</body></html> |