addslashes，htmlspecialchars，htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入

addslashes，htmlspecialchars，htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入

一、转义或者转换的目的

    1. 转义或者转换字符串防止sql注入

    2. 转义或者转换字符防止html非过滤引起页面布局变化

    3. 转义或者转换可以阻止javascript等脚本的xss攻击，避免出现类似恶意弹窗等等形式

二、函数

    1. addslashes($str);

        此函数转义预定义的字符：单引号（‘），双引号（“），反斜线（\）与NULL（NULL字符）

        转义出现在html中的单引号（‘）和双引号（“），经过测试效果不是很好，转义html中的特字符就使用htmlspecialchar()函数

   2. htmlspecialchars($str);

          此函数只转换5个字符，和号（&），双引号（“），单引号（‘），小于（<），大于（>），转换为实体形式，输出时浏览器会自动还原的，如果有意识的转换回来使用htmlspecialchars_decode();

   3. htmlentities();

        此函数会把所有html表示都转换为实体形式的，如果把thml实体转换为字符使用html_lentity_decode()

三、实例

        场景说明：比如想在留言板贴出一段html代码或者javascript代码让别人指导，

点击查看全文

http://www.3qphp.com/php/phpjch/4.html