学步园

最近发现一个问题，是有关引号与转义的，于是就整理了一下这方面的知识，以方便以后温故。

双引号：

·在字串中使用变量
　　这个功能让你无须使用连接符号来粘和大量的简单字符串。PHP允许我们在双引号串中直接包含字
串变量，我们可以发现下面的两个字串的处理结果是相同的。

·斜杠和SQL语句
　　生成HTML代码或SQL查询语句是编写PHP程序时经常遇到而且是件有趣的事情。为什么这么说呢，
因为这涉及到生成另外一种类型的代码，你必须仔细地考虑和遵循这种代码所要求的编写语法和规
则。
　　我们来看这样一个例子，假如你想查询数据库中名字是“O'Keefe”的用户，通常SQL语句的形式
是这样的：
select * from users where last_name = 'O\'Keefe'
　　请注意SQL语句这个英文所有格（撇号）需使用反斜杠转义。PHP专门提供了一些函数来处理这样
的情况，函数AddSlashes($str)的用途就是自动在字串中对引号字符插入反斜杠转义符：
$last_name = "O'Keefe";
$sql = "select * from users where last_name = '" . addslashes($last_name) . "'";
　　在这个例子中，你还要在last_name字串外面括上单引号（SQL语法要求），由于这里使用的是双
引号串，所以对这对单引号就无须使用转义了。下面的这个语句是使用单引号串的等价形式：
$sql = 'select * from users where last_name = \'' . addslashes($last_name) . '\'';
　　任何时候你要在数据库中写入字串，你都必须确保里面的引号正确使用了转义符号，这是很多PHP
初学者常犯的错误。

·双引号和HTML
　　与SQL语句不同，在标准HTML语言中双引号常被用来表示字串（现在很多浏览器具备较强的容错功
能，允许在HTML中用单引号甚至不用引号表示字符串），例如：
$html = '<a href="'.$url.'">'.$link.'</a>';
$html = "<a href=\"$url\">$link</a>";
　　HTML语言不支持反斜杠转义，这一点在我们使用表单的hidden inputs来传输数据的时候就会有所
体会了。设置hidden inputs的值的最好办法，是使用htmlspecialchars()函数来编码。下面的语句可
以正常传输一个可能包含双引号的数据：
　　<input type=hidden name=var value="<?php echo htmlspecialchars($var) ?>">

单引号与双引号的区别：

双引号里面的字段会经过编译器解释，然后再当作HTML代码输出。

单引号里面的不进行解释，直接输出。

例如：

$foo = 2;
echo "foo is $foo"; // 打印结果: foo is 2
echo 'foo is $foo'; // 打印结果: foo is $foo
echo "foo is $foo\n"; // 打印结果: foo is 2 (同时换行)
echo 'foo is $foo\n'; // 打印结果: foo is $foo\n
　　正如你所看到的，在单引号串中甚至反斜杠也失去了他的扩展含义（除了插入反斜杠\\和插入单
引号\'）。所以，当你想在字串中进行变量代换和包含\n（换行符）等转义序列时，你应该使用双引
号。单引号串可以用在其他任何地方，脚本中使用单引号串处理速度会更快些，因为PHP语法分析器对
单引号串的处理方式比较单纯，而双引号的处理由于串内部也需要解析，因此更复杂些，所以处理速

度略慢。

下面列出各种表达方法：
<html>
<body>
<input value="外双引号内双引号-错误" type="button" onclick="alert("OK");" /><br />
<input value="外单引号内单引号-错误" type="button" onclick='alert('OK');' /><br />
<input value="两个双引号-错误" type="button" onclick="alert(""OK"");" /><br />
<input value="两个单引号-错误" type="button" onclick="alert(''OK'');" /><br />
<input value="\+双引号-错误" type="button" onclick="alert(\"OK\");" /><br />
<input value="\+单引号-错误" type="button" onclick="alert(\'OK\');" /><br />
<input value="外双引号内单引号-OK" type="button" onclick="alert('OK');" /><br />
<input value="外单引号内双引号-OK" type="button" onclick='alert("OK");' /><br />
<input value="外部不使用引号-OK" type="button" onclick=alert('OK');alert("OK"); /><br />
<input value="HTML转义字符"(& # 3 4 ;)-OK" type="button" onclick="alert("OK");" /><br />
<input value="HTML转义字符'(& # 3 9 ;)-OK" type="button" onclick="alert('OK');" /><br />
<input value="HTML转义字符"(& # x 2 2 ;)-OK" type="button" onclick="alert('OK');" /><br />
<input value="HTML转义字符'(& # x 2 7 ;)-OK" type="button" onclick="alert('OK');" /><br />
<input value="HTML转义字符&quot;(& q u o t ;)-OK" type="button" onclick="alert(&quot;OK&quot;);" /><br />
<input value="HTML转义字符&apos;(& a p o s ;)-IE错误" type="button" onclick="alert(&apos;OK&apos;);" /><br />

<input value="其它\\-错误" type="button" onclick="alert(\\"OK\\");" /><br />
<input value="其它\& # 3 4 ;-错误" type="button" onclick="alert(\"OK\");" /><br />
</body>
</html>

转义：

单引号中的字符串中需要转义的字符只有反斜杠和单引号本身。PHP不会检查单引号字符串中的插入变量及任何转义的序列。所以用这种方式定义字符串不仅直观而且速度快。

双引号
不能识别转义的单引号，但是能够识别插入的变量和表1-1中的转义序列。

PHP 提供两个方便我们引用数据的魔法引用函数 magic_quotes_gpc和magic_quotes_runtime，这两个函数如果在php.ini设置为ON的时候，就会为我们引用的数据 碰到单引号'和双引号"以及反斜线 \ 是自动加上反斜线，帮我们自动转译符号，确保数据操作的正确运行，可是我们在php不同的版本或者不同的服务器配置下，有的
magic_quotes_gpc和magic_quotes_runtime设置为on，有的又是off，所以我们写的程序必须符合on和off两种情 况。那么magic_quotes_gpc和magic_quotes_runtime两个函数有什么区别呢？看下面的说明： 
magic_quotes_gpc 
作用范围是：ＷＥＢ客户服务端； 
作用时间：请求开始是，例如当脚本运行时． 
magic_quotes_runtime 
作用范围：从文件中读取的数据或执行exec()的结果或是从ＳＱＬ查询中得到的； 
作用时间：每次当脚本访问运行状态中产生的数据． 
所以 
magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据 
magic_quotes_runtime的设定值将会影响从文件中读取的数据或从数据库查询得到的数据

// 检查magic_quotes_gpc是否打开,如果没有打开，用addslashes进行转义

if (get_magic_quotes_gpc()) {     
$str = $_POST['str']; 
} else { 
$str =addslashes($_POST['str']); 
}

在这里顺便在提几个想关联的函数： 
set_magic_quotes_runtime(): 
设置magic_quotes_runtime值. 0=关闭.1=打开.默认状态是关闭的.可以通过 echo phpinfo(); 查看magic_quotes_runtime 
get_magic_quotes_gpc(): 
查看magic_quotes_gpc值.0=关闭.1=打开. 
get_magic_quotes_runtime(): 
查看magic_quotes_runtime值。0=关闭.1=打开. 
注意的是没有 set_magic_quotes_gpc()这个函数,就是不能在程序里面设置magic_quotes_gpc的值。 

使用stripslashes去掉转义，使用addslashes添加转义字符。

 
string addslashes ( string str) 返回字符串：

该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（\'）、双引号（\"）、反斜线（\\）与 NUL（NULL 字符） stripslashes作用相反在处理mysql和GET、POST的数据时，常常要对数据的引号进行转义操作。 PHP中有三个设置可以实现自动对'（单引号），"（双引号），\\（反斜线）和
NULL 字符转移。 PHP称之为魔术引号，这三项设置分别是 magic_quotes_gpc 影响到 HTTP 请求数据（GET，POST 和 COOKIE）。 
不能在运行时改变。在 PHP 中默认值为 on。 magic_quotes_runtime 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为 off。

magic_quotes_sybase：

如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 "。而双引号、反斜线和 NULL 字符将不会进行转义。虽然方便的实现了对特殊符号的自动转义，但是这样会使得程序效率降低，并导致程序可移植变得麻烦。在不知道服务器ini设置的情况 下，还需要调用get_magic_quotes_gpc()
,get_magic_quotes_runtime() 或ini_get()来检测状态。

if(!get_magic_quotes_gpc()){
 foreach ($_POST as &$items){
  $items = addslashes($items);
 }