php使用反斜线引用字符串 addslashes

封面图 • 2025-10-22 • PHP

在 PHP 中，`addslashes()` 函数用于**在字符串中的某些字符前添加反斜线（`\`）**，以防止这些字符被解释为特殊字符。它主要用于**转义字符串中的引号和其他可能引起问题的字符**，常用于防止 SQL 注入等安全问题。

---

## ✅ `addslashes()` 的作用

`addslashes()` 会自动在以下字符前添加反斜线：

- 单引号 `'`
- 双引号 `"`
- 反斜线 `\`
- 空字符 `\0`

例如：

```php
$str = "Hello, 'world'!";
echo addslashes($str);
```

输出结果是：

```
Hello, \'world\'!
```

---

## 📌 示例

```php
<?php
$unsafe_input = "John's \"test\"\\";
$escaped = addslashes($unsafe_input);
echo $escaped;
?>
```

输出：

```
John\'s \"test\"\\
```

---

## ⚠️ 注意事项

1. **不推荐用于 SQL 注入防护**  
   虽然 `addslashes()` 可以用来“转义”字符串，但**不是最安全的方式**。现代 PHP 推荐使用**预处理语句（PDO 或 MySQLi）**来防止 SQL 注入。

2. **`addslashes()` 和 `magic_quotes_gpc` 的关系**  
   在旧版本的 PHP（5.3 之前），PHP 有一个配置项 `magic_quotes_gpc`，它会自动对所有 GET、POST 和 COOKIE 数据进行 `addslashes()` 处理。这个功能在 PHP 5.4 中被移除了，现在需要手动处理。

3. **不要重复转义**  
   如果你已经用 `addslashes()` 转义过一次数据，再调用它可能会导致双转义的问题。

---

## ✅ 替代方案：使用预处理语句（推荐）

```php
<?php
$pdo = new PDO("mysql:host=localhost;dbname=test", "user", "password");

$stmt = $pdo->prepare("INSERT INTO users (name) VALUES (?)");
$stmt->execute(["John's Name"]);
?>
```

这种方式更安全、更可靠。

---

## 📚 总结

| 方法             | 是否推荐 | 用途                     |
|------------------|----------|--------------------------|
| `addslashes()`   | 不推荐   | 转义字符串中的特殊字符   |
| 预处理语句（PDO/MySQLi） | 推荐     | 安全地防止 SQL 注入      |

如果你有具体的使用场景或代码片段，我可以帮你进一步分析是否安全。