让我们想象一个表单编辑器，它可以编辑可用的值。如果数据包含"字符(双引号)它“破坏”了HTML代码。我的意思是，让我们检查代码:所以我生成HTML:onclick="vara=prompt('Newvalue:','');if(a!=null)....结果是onclick="vara=prompt('Newvalue:','aaaa\"aaa');if(a!=null){v....这使得JS无法工作，从而破坏了代码。用单引号'它工作正常。mysqlrealescape做同样的。如何转义任何字符串以免破坏javascript？json_encode看起来不错，但我一定是做错了什么，它仍然

这个问题在这里已经有了答案:关闭11年前。PossibleDuplicates:Htmlentitiesvsaddslashesvsmysqli_real_escape_stringWhentousewhichstringescapingmethod?你好，我很困惑何时使用addslashes以及何时使用htmlentities。能否请您告诉我一个例子，我应该在什么地方使用addslashes以及什么时候使用htmlentities。

在PHP中使用默认魔术引号或用户定义的addslash/stripslash哪个更好？我想用最好的。请帮助我。 最佳答案 手动完成!魔术引号在PHP5中被弃用，并且在PHP6中被完全删除。不仅如此，它们还是纯粹的邪恶!它们会在你无法想象的地方造成错误。显式总是比隐式好(正如Python所说)。 关于php-在PHP中使用默认魔术引号或用户定义的addslash/stripslash哪个更好？，我们在StackOverflow上找到一个类似的问题： https:

我在浏览文档时无意中发现了mysql_real_escape_string()，但我不明白为什么它在您只需添加斜杠()时就很有用。有人可以向我展示它为何有用的场景吗？我也很好奇为什么它需要数据库连接....这看起来开销很大。 最佳答案 Thereisagreatarticleaboutthishere.还有这个discussion还指出了每种解决方案的优缺点。addslashes()wasfromthedevelopersofPHPwhereasmysql_real_escape_stringusestheunderlyingMyS

我有一个问题，我想在数组的每个字符串的开头和结尾添加斜杠。这是我实际数组的一个例子:$patte=array();$patte[0]="httpd";$patte[1]="vsftpd";$patte[2]='gohphp';$patte[3]='abcdef';我使用这个数组将信息放入数据库，所以我现在不能放置斜线，否则这将不起作用。(mysql_query...而mysql_fetch_array...)我需要重命名这些条目。为此，我使用第二个数组，并使用命令:“preg_replace”我可以像我想要的那样翻译每个字符串。但是preg_replace要我在$patte中添加斜线我

假设一些PHP代码回显通过首先将addslashes()然后htmlspecialchars()应用到HTML文档而净化的输入。我听说这是一种不安全的方法，但不知道为什么。对于可以将哪种格式应用于危险输入(例如脚本标记中的JavaScript)以绕过这两个函数强加的安全措施的任何建议，我们将不胜感激。 最佳答案 addslashes与XSS无关(并且在实际有用的地方几乎总是有更好的东西)。htmlspecialchars不是不安全的方法。它本身是不够的。htmlspecialchars如果您将内容作为“安全”元素的主体，将会保护您。

我必须处理以前的开发人员留下的旧网络应用程序。它使用addslashes()来防止HTML属性上的XSS。这是一个例子:";?>这是否容易受到XSS攻击？javascript是否可以像在src属性中那样在value属性中运行，例如src='javascript:alert(99)'。还是可以打破value属性，然后插入script标签？编辑:感谢Quentin，我相信它很脆弱。 最佳答案 Isaddslashes()safetopreventXSSinaHTMLattribute?这是非常无效的。Isthisvulnerableto

我有一个基于thistutorial的电子商务网站.现在，在cart.php页面中，每当有人更新数量并继续单击UpdateCart按钮时，他们都会收到以下通知:Notice:Arraytostringconversionin/home/aquadual/public_html/fiverrproject/plaincart/library/config.phponline51Notice:Arraytostringconversionin/home/aquadual/public_html/fiverrproject/plaincart/library/config.phponline

如何转义传入数据，以便在preg_replace()和consorts中将其用作模式？例如，我需要匹配这个字符串:/vorschau/显然，我需要对“v”进行转义，否则会出错。我在文档中找不到任何内容。是否有某种addslashes()或表达式中的解决方法？ 最佳答案 如果我没有正确理解你的问题，你正在寻找preg_quote:stringpreg_quote(string$str[,string$delimiter=NULL])preg_quote()takesstrandputsabackslashinfrontofeveryc

这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:Whatdoesmysql_real_escape_string()dothataddslashes()doesn't?我一直在查看关于PHP的addslashes函数如何/为什么易受sql注入(inject)攻击的文章。我读过的所有内容都说特定的mysql编码类型(default-character-set=GBK)存在问题，或者如果启用了magic_quotes则存在问题。但是，在这种情况下，我无法突破addslashes()函数并执行一些恶意操作-例如以管理员身份登录。$user=addslashes(