php引号转义及表单储值问题

转载自 merry_pjx

最终编辑 merry_pjx

       其实在很多应用设计中字符串处理和数据接收都很重要，这不我在做这两个项目的时候就涉及了不少的数据接收处理及显示的问题。这里要讲一下php中POST,GET,REQUEST等接收数据时转义的问题，可能很多朋友和我以前一样不知道怎么处理，举个例子：

有一个用php输出的表单：

<?php
echo <<<BOL
<form action="" name="form1" method="POST"><imput type="text" size="20" name="username" value="{$_POST['username']}"></form>
BOL;
?>

当这样的程序运行时，你输入'"之类的字符，看看input文本框中会出现什么情况，这样做的话可以实现请求后保存值，但是在文本框中的值变成了\'，而双引号之后的字符串不见了，我敢肯定这并不是你想要的结果。所以这种情况下就得了解两个知识点了，php的魔术引号及html编码转换。

１、PHP魔术引号。
在处理mysql和GET、POST的数据时，常常要对数据的引号进行转义操作。
PHP中有三个设置可以实现自动对’（单引号），”（双引号），\（反斜线）和 NULL 字符转转。
PHP称之为魔术引号，这三项设置分别是

magic_quotes_gpc
影响到 HTTP 请求数据（GET，POST 和 COOKIE）。不能在运行时改变。在 PHP 中默认值为 on。

magic_quotes_runtime
如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为 off。

magic_quotes_sybase
如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ”。而双引号、反斜线 和 NULL 字符将不会进行转义。

虽然方便的实现了对特殊符号的自动转义，但是这样会使得程序效率降低，并导致程序可移植变得麻烦。在不知道服务器ini设置的情况下，还需要调用get_magic_quotes_gpc() ,get_magic_quotes_runtime() 或ini_get()来检测状态。
例如：

if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST['lastname']);
} else {
$lastname = $_POST['lastname'];
}

因此最好关闭php的魔术引号，根据情况手动用addslashes(),stripslashes()来转义和取消转义。
可以学习discuz的做法，在配置文件中加入 set_magic_quotes_runtime(0);来取消转义。
　　

２、html编码转换
要知道html标签的属性是以'或者"号引用的，如果按照xhtml1.0的标准的话应该用双引号如

<form action="" name="form1" method="POST"><imput type="text" size="20" name="username" value="{$_POST['username']}"></form>

那么出果如果我们$_POST['username']中存在"那么就会出现html编码错误，所以我们要把字符串中的html特殊符号进行编码转换。在php中用htmlspecialchars和htmlspecialchars_decode对字符串中的html特殊字符进行转换，htmlspecialchars_decode是php5新增的。

因此要解决以上两个问题代码需要改成如下：

<?php
$_POST['username']=htmlspecialchars(get_magic_quotes_gpc()?$_POST['lastname']:addslashes($_POST['lastname']));

echo <<<BOL
<form action="" name="form1" method="POST"><imput type="text" size="20" name="username" value="{$_POST['username']}"></form>
BOL;
?>

最后在取出数据显示的时候还得加上反向函数html_entity_decode();这样才会显示出正常的格式。