PHP防注入函数使用
htmlspecialchars 防止xss注入
ENT_COMPAT - 默认。仅编码双引号。
ENT_QUOTES - 编码双引号和单引号。
ENT_NOQUOTES - 不编码任何引号。
默认是只编码双引号的!
addslashes 防止sql注入
$str= htmlspecialchars(addslashes($str),
ENT_QUOTES );
转义:
$str= htmlspecialchars_decode(stripslashes($str));