有关PHP、HTML单引号、双引号转义以及转成HTML实体的那些事！

有关PHP、HTML单引号、双引号转义以及转成HTML实体的那些事！


一、单引号和双引号转义在PHP的数据存储过程中用得比较多，即往数据库里面存储数据时候需要注意转义单、双引号；
先说几个PHP函数：
1、addslashes — 使用反斜线引用（转义）字符串；
　　返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如，将名字 O'reilly 插入到数据库中，这就需要对其进行转义。大多数据库使用 \ 作为转义符：O\'reilly。这样可以将数据放入数据库中，而不会插入额外的 \。当 PHP 指令 magic_quotes_sybase 被设置成 on 时，意味着插入 ' 时将使用 ' 进行转义。默认情况下，PHP 指令 magic_quotes_gpc 为 on，它主要是对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
2、stripslashes — 去掉字符串的反斜杠引用（转义）
　　即同addslashes()做相反的工作；
3、get_magic_quotes_gpc --- 检测魔术引用变量是否开启，倘若开启返回1，为开启则返回0；
if (!get_magic_quotes_gpc()) {
    $lastname = addslashes($_POST['lastname']);
} else {
    $lastname = $_POST['lastname' ];
}
echo $lastname; 
$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";

二、谈转义实体问题：
我们经常会遇到关于留言板之类的可以让用户输入信息的地方，这些地方都是需要注意的，因为不做转实体之类的话，html代码、script脚本可以轻易的被输入保存，并被其他用户执行；
所以类似用户在输入文本内输入<a href="xxx">hello</a>之类的，我们尽量要屏蔽掉，否则用户会乱搞，比如调CSS样式等，那样，我们页面将一塌糊涂。废话不多说，这里有几个关于PHP转实体的函数需要详细了解：
1、htmlspecialchars（） 转义特别的字符为HTML实体；
'&' (ampersand) becomes '&amp;'
'"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.
''' (single quote) becomes '&#039;' only when ENT_QUOTES is set.
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'
2、htmlspecialchars_decode（）将实体转成HTML代码,函数1的反函数

3、 htmlentities()这个是全部转换html实体，和htmlspecialchars()区别在于，这个函数是转义全部的字符，而htmlspecialchars()仅仅转义上面限定的5个特殊字符！

ref: http://www.cnblogs.com/terryglp/articles/1900503.html