单引号，双引号，转义

京鱼网：www.jingfish.com

最近发现一个问题，是有关引号与转义的，于是就整理了一下这方面的知识，以方便以后温故。

双引号：

·在字串中使用变量

　　这个功能让你无须使用连接符号来粘和大量的简单字符串。PHP允许我们在双引号串中直接包含字

串变量，我们可以发现下面的两个字串的处理结果是相同的。

·斜杠和SQL语句

　　生成HTML代码或SQL查询语句是编写PHP程序时经常遇到而且是件有趣的事情。为什么这么说呢，

因为这涉及到生成另外一种类型的代码，你必须仔细地考虑和遵循这种代码所要求的编写语法和规

则。

　　我们来看这样一个例子，假如你想查询数据库中名字是“O'Keefe”的用户，通常SQL语句的形式

是这样的：

select * from users where last_name = 'O\'Keefe'

　　请注意SQL语句这个英文所有格（撇号）需使用反斜杠转义。PHP专门提供了一些函数来处理这样

的情况，函数AddSlashes($str)的用途就是自动在字串中对引号字符插入反斜杠转义符：

$last_name = "O'Keefe";

$sql = "select * from users where last_name = '" . addslashes($last_name) . "'";

　　在这个例子中，你还要在last_name字串外面括上单引号（SQL语法要求），由于这里使用的是双

引号串，所以对这对单引号就无须使用转义了。下面的这个语句是使用单引号串的等价形式：

$sql = 'select * from users where last_name = \'' . addslashes($last_name) . '\'';

　　任何时候你要在数据库中写入字串，你都必须确保里面的引号正确使用了转义符号，这是很多PHP

初学者常犯的错误。

·双引号和HTML

　　与SQL语句不同，在标准HTML语言中双引号常被用来表示字串（现在很多浏览器具备较强的容错功

能，允许在HTML中用单引号甚至不用引号表示字符串），例如：

$html = '<a href="'.$url.'">'.$link.'</a>';

$html = "<a href=\"$url\">$link</a>";

　　HTML语言不支持反斜杠转义，这一点在我们使用表单的hidden inputs来传输数据的时候就会有所

体会了。设置hidden inputs的值的最好办法，是使用htmlspecialchars()函数来编码。下面的语句可

以正常传输一个可能包含双引号的数据：

　　<input type=hidden name=var value="<?php echo htmlspecialchars($var) ?>">

单引号与双引号的区别：

双引号里面的字段会经过编译器解释，然后再当作HTML代码输出。

单引号里面的不进行解释，直接输出。

例如：

$foo = 2;

echo "foo is $foo"; // 打印结果: foo is 2

echo 'foo is $foo'; // 打印结果: foo is $foo

echo "foo is $foo\n"; // 打印结果: foo is 2 (同时换行)

echo 'foo is $foo\n'; // 打印结果: foo is $foo\n

　　正如你所看到的，在单引号串中甚至反斜杠也失去了他的扩展含义（除了插入反斜杠\\和插入单

引号\'）。所以，当你想在字串中进行变量代换和包含\n（换行符）等转义序列时，你应该使用双引

号。单引号串可以用在其他任何地方，脚本中使用单引号串处理速度会更快些，因为PHP语法分析器对

单引号串的处理方式比较单纯，而双引号的处理由于串内部也需要解析，因此更复杂些，所以处理速

度略慢。

下面列出各种表达方法：

<html>

<body>

<input value="外双引号内双引号-错误" type="button"  /><br />

<input value="外单引号内单引号-错误" type="button"  /><br />

<input value="两个双引号-错误" type="button"  /><br />

<input value="两个单引号-错误" type="button"  /><br />

<input value="\+双引号-错误" type="button"  /><br />

<input value="\+单引号-错误" type="button"  /><br />

<input value="外双引号内单引号-OK" type="button"  /><br />

<input value="外单引号内双引号-OK" type="button"  /><br />

<input value="外部不使用引号-OK" type="button"  /><br />

<input value="HTML转义字符"(& # 3 4 ;)-OK" type="button"  /><br />

<input value="HTML转义字符'(& # 3 9 ;)-OK" type="button"  /><br />

<input value="HTML转义字符"(& # x 2 2 ;)-OK" type="button"  /><br />

<input value="HTML转义字符'(& # x 2 7 ;)-OK" type="button"  /><br />

<input value="HTML转义字符"(& q u o t ;)-OK" type="button"  /><br />

<input value="HTML转义字符'(& a p o s ;)-IE错误" type="button"  /><br />

<input value="其它\\-错误" type="button"  /><br />

<input value="其它\& # 3 4 ;-错误" type="button"  /><br />

</body>

</html>

转义：

单引号中的字符串中需要转义的字符只有反斜杠和单引号本身。PHP不会检查单引号字符串中的插入变量及任何转义的序列。所以用这种方式定义字符串不仅直观而且速度快。

双引号

不能识别转义的单引号，但是能够识别插入的变量和表1-1中的转义序列。

PHP提供两个方便我们引用数据的魔法引用函数 magic_quotes_gpc和magic_quotes_runtime，这两个函数如果在php.ini设置为ON的时候，就会为我们引用的数据 碰到单引号'和双引号"以及反斜线 \ 是自动加上反斜线，帮我们自动转译符号，确保数据操作的正确运行，可是我们在php不同的版本或者不同的服务器配置下，有的 magic_quotes_gpc和magic_quotes_runtime设置为on，有的又是off，所以我们写的程序必须符合on和off两种情 况。那么magic_quotes_gpc和magic_quotes_runtime两个函数有什么区别呢？看下面的说明：

magic_quotes_gpc

作用范围是：ＷＥＢ客户服务端；

作用时间：请求开始是，例如当脚本运行时．

magic_quotes_runtime

作用范围：从文件中读取的数据或执行exec()的结果或是从ＳＱＬ查询中得到的；

作用时间：每次当脚本访问运行状态中产生的数据．

所以

magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据

magic_quotes_runtime的设定值将会影响从文件中读取的数据或从数据库查询得到的数据

// 检查magic_quotes_gpc是否打开,如果没有打开，用addslashes进行转义

if (get_magic_quotes_gpc()) {    

$str = $_POST['str'];

} else {

$str =addslashes($_POST['str']);

}

在这里顺便在提几个想关联的函数：

set_magic_quotes_runtime():

设置magic_quotes_runtime值. 0=关闭.1=打开.默认状态是关闭的.可以通过 echo phpinfo(); 查看magic_quotes_runtime

get_magic_quotes_gpc():

查看magic_quotes_gpc值.0=关闭.1=打开.

get_magic_quotes_runtime():

查看magic_quotes_runtime值。0=关闭.1=打开.

注意的是没有 set_magic_quotes_gpc()这个函数,就是不能在程序里面设置magic_quotes_gpc的值。

使用stripslashes去掉转义，使用addslashes添加转义字符。

string addslashes ( string str) 返回字符串：

该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（\'）、双引号（\"）、反斜线（\\）与 NUL（NULL 字符） stripslashes作用相反在处理mysql和GET、POST的数据时，常常要对数据的引号进行转义操作。 PHP中有三个设置可以实现自动对'（单引号），"（双引号），\\（反斜线）和 NULL 字符转移。 PHP称之为魔术引号，这三项设置分别是 magic_quotes_gpc 影响到 HTTP 请求数据（GET，POST 和 COOKIE）。

不能在运行时改变。在 PHP 中默认值为 on。 magic_quotes_runtime 如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为 off。

magic_quotes_sybase：

如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 "。而双引号、反斜线和 NULL 字符将不会进行转义。虽然方便的实现了对特殊符号的自动转义，但是这样会使得程序效率降低，并导致程序可移植变得麻烦。在不知道服务器ini设置的情况 下，还需要调用get_magic_quotes_gpc() ,get_magic_quotes_runtime() 或ini_get()来检测状态。

if(!get_magic_quotes_gpc()){

foreach ($_POST as &$items){

 $items = addslashes($items);

我们在程序中的写法似乎有点怪异，在as后边的变量前加上了一个引用符号&以此表示地址引用，如果这时候如果修改$items的值就相当于修改了数组元素的值。在PHP系统没有加