php 最簡單sql防注入函數與方法

mysql教程_real_escape_string — 轉義 SQL 陳述式中使用的字串中的特殊字元，並考慮到串連的當前字元集。

但是注意：該函數並不轉義 % 和 _。另外，最好不要對整條sql語句使用該函數，而是只轉義傳入sql語句的字串參數，否則會發生意想不到的結果。

 

<?php教程
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %sn", $escaped_item);
?>

addslashes() 函數在指定的預定義字元前添加反斜線。

這些預定義字元是：

單引號 (')
雙引號 (")
反斜線 ()
NULL

預設情況下，PHP 指令 magic_quotes_gpc 為 on，對所有的 GET、POST 和 COOKIE 資料自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes()，因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。

$str="jane &amp; &#039;tarzan&#039;";      //定義html字串
echo html_entity_decode($str);        //輸出轉換後的內容
echo "<br/>";
echo html_entity_decode($str,ent_quotes);     //有選擇性參數輸出的內容

更多詳細內容請查看：http://www.111cn.net/phper/php-function/36439.htm