如何使用PHP中的escape

li.liu

Escape是用来保证特殊字符被正确处理的重要手段，著名的XSS攻击就是因为没有对用户输入做正确的escape造成的，这里我对PHP中的Escape做了一些总结。
* 需要escape的地方
o 输入的时候使用htmlspecialchars($str, ENT_QUOTES) 对html做escape, urlencode来对url做encode,javascript必须使用addslashes和htmlspecialchars
o 访问数据库的时候。访问数据库最好使用绑定参数的方式，否则必须通过合适的escape函数，不同数据库驱动有不同的函数，mysql是使用mysql_real_escape_string
* 不要escape的地方
o 存到数据库的数据不要escape，要用原始数据。取出来使用的时候，如果遇上上面提到的三种情况，再做合适的escape
另外，要尽量避免使用addslashes,因为使用这个函数必须以数据以前没被addslashes过为前提，当函数被套嵌调用很多次的时候很难确定调用是否正确。
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/72491/showart_1274542.html