在mysql的查询、修改、插入、删除的sql语句里有引号如何处理?
例如:
1
2
3
4
5
6
7
8
|
<? $name = "my name is xcxc" ; $people = "i‘m chinese people" ; $sql = "update table set field1=‘$name‘, field2=‘$people‘" ; ?> |
其实有很多方法可以解决,比如strtr、str_replace等字符串替换函数,将单引号(‘)和双引号(")替换成转移单引号(\‘)和转移双引号(\"),还可以使用addslashes函数将指定的预定义字符前添加反斜杠。
下面看看我的办法
我使用的是htmlspecialchars() 函数,htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符有:
- & (和号) 成为 &
- " (双引号) 成为 "
- ‘ (单引号) 成为 '
- < (小于) 成为 <
- > (大于) 成为 >
语法:htmlspecialchars(string,quotestyle,character-set)
语法说明:
参数 | 描述 |
string | 必需。规定要转换的字符串。 |
quotestyle |
可选。规定如何编码单引号和双引号。 ENT_COMPAT - 默认。仅编码双引号。 ENT_QUOTES - 编码双引号和单引号。 ENT_NOQUOTES - 不编码任何引号。 |
character-set |
可选。字符串值,规定要使用的字符集。 ISO-8859-1 - 默认。西欧。 |
语法举例:
1
2
3
4
|
<?php $str = "i‘m a chinese" ; $str2 = htmlspecialchars( $str ,ENT_QUOTES); ?> |
例子
1
2
3
4
5
6
7
8
9
10
11
12
|
<html> <body> <?php $str = "John & ‘Adams‘" ; echo htmlspecialchars( $str , ENT_COMPAT); echo "<br />" ; echo htmlspecialchars( $str , ENT_QUOTES); echo "<br />" ; echo htmlspecialchars( $str , ENT_NOQUOTES); ?> </body> </html> |
浏览器输出:
1
2
3
|
John & ‘Adams‘ John & ‘Adams‘ John & ‘Adams‘ |
如果在浏览器中查看源代码,会看到这些 HTML:
1
2
3
4
5
6
7
|
< html > < body > John & ‘Adams‘< br /> John & ‘Adams‘< br /> John & ‘Adams‘ </ body > </ html > |