单引号,双引号,转义


最近发现一个问题,是有关引号与转义的,于是就整理了一下这方面的知识,以方便以后温故。

 

双引号:

·在字串中使用变量
  这个功能让你无须使用连接符号来粘和大量的简单字符串。PHP允许我们在双引号串中直接包含字
串变量,我们可以发现下面的两个字串的处理结果是相同的。

·斜杠和SQL语句
  生成HTML代码或SQL查询语句是编写PHP程序时经常遇到而且是件有趣的事情。为什么这么说呢,
因为这涉及到生成另外一种类型的代码,你必须仔细地考虑和遵循这种代码所要求的编写语法和规
则。
  我们来看这样一个例子,假如你想查询数据库中名字是“O'Keefe”的用户,通常SQL语句的形式
是这样的:

select * from users where last_name = 'O\'Keefe'
   请注意SQL语句这个英文所有格(撇号)需使用反斜杠转义。PHP专门提供了一些函数来处理这样
 的情况,函数AddSlashes($str)的用途就是自动在字串中对引号字符插入反斜杠转义符:
 $last_name = "O'Keefe";
 $sql = "select * from users where last_name = '" . addslashes($last_name) . "'";
   在这个例子中,你还要在last_name字串外面括上单引号(SQL语法要求),由于这里使用的是双
 引号串,所以对这对单引号就无须使用转义了。下面的这个语句是使用单引号串的等价形式:
 $sql = 'select * from users where last_name = \'' . addslashes($last_name) . '\'';


  任何时候你要在数据库中写入字串,你都必须确保里面的引号正确使用了转义符号,这是很多PHP
初学者常犯的错误。

·双引号和HTML
  与SQL语句不同,在标准HTML语言中双引号常被用来表示字串(现在很多浏览器具备较强的容错功
能,允许在HTML中用单引号甚至不用引号表示字符串),例如:

$html = '<a href="'.$url.'">'.$link.'</a>';
 $html = "<a href=\"$url\">$link</a>";
   HTML语言不支持反斜杠转义,这一点在我们使用表单的hidden inputs来传输数据的时候就会有所
 体会了。设置hidden inputs的值的最好办法,是使用htmlspecialchars()函数来编码。下面的语句可
 以正常传输一个可能包含双引号的数据:
   <input type=hidden name=var value="<?php echo htmlspecialchars($var) ?>">

单引号与双引号的区别:

双引号里面的字段会经过编译器解释,然后再当作HTML代码输出。

单引号里面的不进行解释,直接输出。

例如:

$foo = 2; 
 
 echo "foo is $foo"; // 打印结果: foo is 2 
 
 echo 'foo is $foo'; // 打印结果: foo is $foo 
 
 echo "foo is $foo\n"; // 打印结果: foo is 2 (同时换行) 
 
 echo 'foo is $foo\n'; // 打印结果: foo is $foo\n


  正如你所看到的,在单引号串中甚至反斜杠也失去了他的扩展含义(除了插入反斜杠\\和插入单


引号\')。所以,当你想在字串中进行变量代换和包含\n(换行符)等转义序列时,你应该使用双引


号。单引号串可以用在其他任何地方,脚本中使用单引号串处理速度会更快些,因为PHP语法分析器对


单引号串的处理方式比较单纯,而双引号的处理由于串内部也需要解析,因此更复杂些,所以处理速


度略慢。

 

下面列出各种表达方法:
<html>

<body>
 <input value="外双引号内双引号-错误" type="button" οnclick="alert("OK");" /><br />
 <input value="外单引号内单引号-错误" type="button" οnclick='alert('OK');' /><br />
 <input value="两个双引号-错误" type="button" οnclick="alert(""OK"");" /><br />
 <input value="两个单引号-错误" type="button" οnclick="alert(''OK'');" /><br />
 <input value="\+双引号-错误" type="button" οnclick="alert(\"OK\");" /><br />
 <input value="\+单引号-错误" type="button" οnclick="alert(\'OK\');" /><br />
 <input value="外双引号内单引号-OK" type="button" οnclick="alert('OK');" /><br />
 <input value="外单引号内双引号-OK" type="button" οnclick='alert("OK");' /><br />
 <input value="外部不使用引号-OK" type="button" οnclick=alert('OK');alert("OK"); /><br />
 <input value="HTML转义字符"(& # 3 4 ;)-OK" type="button" οnclick="alert("OK");" /><br />
 <input value="HTML转义字符'(& # 3 9 ;)-OK" type="button" οnclick="alert('OK');" /><br />
 <input value="HTML转义字符"(& # x 2 2 ;)-OK" type="button" οnclick="alert('OK');" /><br />
 <input value="HTML转义字符'(& # x 2 7 ;)-OK" type="button" οnclick="alert('OK');" /><br />
 <input value="HTML转义字符"(& q u o t ;)-OK" type="button" οnclick="alert("OK");" /><br />
 <input value="HTML转义字符'(& a p o s ;)-IE错误" type="button" οnclick="alert('OK');" /><br /><input value="其它\\-错误" type="button" οnclick="alert(\\"OK\\");" /><br />
 <input value="其它\& # 3 4 ;-错误" type="button" οnclick="alert(\"OK\");" /><br />
 </body>
 </html>

转义:

单引号中的字符串中需要转义的字符只有反斜杠和单引号本身。PHP不会检查单引号字符串中的插入变量及任何转义的序列。所以用这种方式定义字符串不仅直观而且速度快

双引号


不能识别转义的单引号,但是能够识别插入的变量和表1-1中的转义序列。


postgres 转义双引号 sql转义双引号_postgres 转义双引号

PHP提供两个方便我们引用数据的魔法引用函数 magic_quotes_gpc和magic_quotes_runtime,这两个函数如果在php.ini设置为ON的时候,就会为我们引用的数据 碰到单引号'和双引号"以及反斜线 \ 是自动加上反斜线,帮我们自动转译符号,确保数据操作的正确运行,可是我们在php不同的版本或者不同的服务器配置下,有的 magic_quotes_gpc和magic_quotes_runtime设置为on,有的又是off,所以我们写的程序必须符合on和off两种情 况。那么magic_quotes_gpc和magic_quotes_runtime两个函数有什么区别呢?看下面的说明: 
magic_quotes_gpc 
作用范围是:WEB客户服务端; 
作用时间:请求开始是,例如当脚本运行时. 
magic_quotes_runtime 
作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的; 
作用时间:每次当脚本访问运行状态中产生的数据. 
所以 

magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据 
 magic_quotes_runtime的设定值将会影响从文件中读取的数据或从数据库查询得到的数据 // 检查magic_quotes_gpc是否打开,如果没有打开,用addslashes进行转义
if (get_magic_quotes_gpc()) {     
 $str = $_POST['str']; 
 } else { 
 $str =addslashes($_POST['str']); 
 }

在这里顺便在提几个想关联的函数: 
set_magic_quotes_runtime(): 
设置magic_quotes_runtime值. 0=关闭.1=打开.默认状态是关闭的.可以通过 echo phpinfo(); 查看magic_quotes_runtime 
get_magic_quotes_gpc(): 
查看magic_quotes_gpc值.0=关闭.1=打开. 
get_magic_quotes_runtime(): 
查看magic_quotes_runtime值。0=关闭.1=打开. 
注意的是没有 set_magic_quotes_gpc()这个函数,就是不能在程序里面设置magic_quotes_gpc的值。 

 

使用stripslashes去掉转义,使用addslashes添加转义字符。

 
string addslashes ( string str) 返回字符串:


该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(\')、双引号(\")、反斜线(\\)与 NUL(NULL 字符) stripslashes作用相反在处理mysql和GET、POST的数据时,常常要对数据的引号进行转义操作。 PHP中有三个设置可以实现自动对'(单引号),"(双引号),\\(反斜线)和 NULL 字符转移。 PHP称之为魔术引号,这三项设置分别是 magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。 
不能在运行时改变。在 PHP 中默认值为 on。 magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在 PHP 中的默认值为 off。


magic_quotes_sybase:


如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 "。而双引号、反斜线和 NULL 字符将不会进行转义。虽然方便的实现了对特殊符号的自动转义,但是这样会使得程序效率降低,并导致程序可移植变得麻烦。在不知道服务器ini设置的情况 下,还需要调用get_magic_quotes_gpc() ,get_magic_quotes_runtime() 或ini_get()来检测状态。

if(!get_magic_quotes_gpc()){ 
 
  foreach ($_POST as &$items){ 
 
   $items = addslashes($items); 
 
  } 
 
}

我们在程序中的写法似乎有点怪异,在as后边的变量前加上了一个引用符号&以此表示地址引用,如果这时候如果修改$items的值就相当于修改了数组元素的值。在PHP系统没有加