一、开场唠嗑:字符串的“危险派对”
想象一下:你精心准备的PHP程序是个热闹派对,字符串数据就像一群性格各异的客人。有的客人乖巧听话(比如普通字母“hello”),但总有几个“搞事分子”——比如引号(")、斜杠(\)或HTML标签(<script>)。它们一兴奋就可能摔杯子(引发语法错误)、撞翻蛋糕(破坏数据完整性),甚至偷偷撬锁(触发安全漏洞)!
转义(Escape)就是给这些“危险分子”穿上防暴服:在特殊字符前加个反斜杠(\),告诉PHP:“这兄弟是来凑字数的,别当真!” 还原(Unescape)则是派对结束后帮它们卸下装备,恢复自由身。今天咱不整枯燥术语,直接上“菜”——用代码故事会的方式,把转义还原那点事儿聊透!
二、转义基础:addslashes() 的“保镖生涯”
场景还原:用户在你网站留言板激情输入:
我真的很"爱"PHP,它让我的<script>alert('嗨')</script>人生更精彩!
如果直接塞进数据库……恭喜,你的页面可能当场表演弹窗杂技,甚至被SQL注入偷袭!
救星登场:addslashes()——字符串界的全职保镖。它的绝活是给四个高危字符加反斜杠护盾:
- 单引号(
') →\' - 双引号(
") →\" - 反斜杠(
\) →\\ - 空字符(
\0) →\0
$userInput = '我真的很"爱"PHP,它让我的<script>alert("嗨")</script>人生更精彩!';
$escaped = addslashes($userInput);
echo $escaped;
// 输出:我真的很\"爱\"PHP,它让我的<script>alert(\"嗨\")</script>人生更精彩!现在,引号和脚本标签都被“缴械”,安全存进数据库啦!
但小心坑:addslashes() 有时候会过度热情。比如存储JSON数据时,它可能给本不该转义的字符加盾,导致解析失败。此时更专业的“保镖”可能是 json_encode() 或数据库扩展的自带转义(如 mysqli_real_escape_string())。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
