PHP中单引号和双引号具有不同的含义,最大的几项区别如下:
单引号中,任何变量($var)、特殊转义字符(如“/t
/r
/n”等)不会被解析,因此PHP的解析速度更快,转义字符仅仅支持“/’”和“//”这样对单引号和反斜杠本身的转义;
/r
/n”等)不会被解析,因此PHP的解析速度更快,转义字符仅仅支持“/’”和“//”这样对单引号和反斜杠本身的转义;
双引号中,变量($var)值会代入字符串中,特殊转义字符也会被解析成特定的单个字符,还有一些专门针对上述两项特性的特殊功能性转义,例如“/$”和“{$array[‘key’]}。这样虽然程序编写更加方便,但同时PHP的解析也很慢;
数组中,如果下标不是整型,而是字符串类型,请务必用单引号将下标括起,正确的写法为$array[‘key’],而不是$array[key],因为不正确的写法会使PHP解析器认为key是一个常量,进而先判断常量是否存在,不存在时才以“key”作为下标带入表达式中,同时出发错误事件,产生一条Notice级错误。
因此,在绝大多数可以使用单引号的场合,禁止使用双引号。依据上述分析,可以或必须使用单引号的情况包括但不限于下述:
l
字符串为固定值,不包含“/t”等特殊转义字符;
字符串为固定值,不包含“/t”等特殊转义字符;
l
数组的固定下标,例如$array[‘key’];
数组的固定下标,例如$array[‘key’];
l 表达式中不需要带入变量,例如$string
= ‘test’;,而非$string = “test$var”;
= ‘test’;,而非$string = “test$var”;
例外的,在正则表达式(用于preg_系列函数和ereg系列函数)中,phpcms全部使用双引号,这是为了人工分析和编写的方便,并保持正则表达式的统一,减少不必要的分析混淆。
数据库SQL语句中,所有数据都不得加单引号,但是在进行sql查询之前都必须经过intval函数处理;所有字符串都必须加单引号,以避免可能的注入漏洞和SQL错误。正确的写法为:
|
$catid = intval($catid);
SELECT * FROM phpcms_member WHERE username=’$_username’ AND
catid=$catid; |
所有数据在插入数据库之前,均需要进行addslashes()处理,以免特殊字符未经转义在插入数据库的时候出现错误。phpcms中如果已经引入了文件
common.inc.php,则所有通过 GET, POST,
FILE,取得的变量默认情况下已经使用了addslashes()进行了转义,不必重复进行。如果数据处理必要(例如用于直接显示),可以使用
stripslashes() 恢复,但数据在插入数据库之前必须再次进行转义。
common.inc.php,则所有通过 GET, POST,
FILE,取得的变量默认情况下已经使用了addslashes()进行了转义,不必重复进行。如果数据处理必要(例如用于直接显示),可以使用
stripslashes() 恢复,但数据在插入数据库之前必须再次进行转义。
缓存文件中,一般对缓存数据的值采用 addcslashes($string,
'/'//')进行转义。
'/'//')进行转义。